关于 log4j2 漏洞的疑惑

是没想到一个日志库解析日志时会访问外部网络。。。

这与变魔术的情形一样，解密之前就是看不破，解密之后眼睛就知道该盯着哪里看了，人太容易有思维盲点。

大概是这个功能本来旧没有多少人用。
而且很多项目里面有 log4j 是不是它自己用，而是依赖带过来的。

因为这不是一个漏洞，是 feature ，而且大家默认 log.xxx=println, 只是一个简单的输出内容到指定位置， 谁也不会想到一个 log 库会解析 jndi 地址

@ruanimal
@cmdOptionKana
@kernelpanic 因为我看复现的步骤很简单，所以简单的推断 如果有做 jndi 方面的测试，即使是不针对 log4j2 的测试 log4j2 的这个漏洞应该会顺带被测试出来吧？ 所以才疑惑是不是业界都没有做 jndi 方面的攻击测试

如果这都要做测试，那测试的内容可就多了去了

@fangcan #5 发现了的人未必会公开，可以售卖。也可以自行利用。
常规的安全测试针对的是已发生过的问题，不会对未发生过的进行测试或有案例。
review 时候一般遇到古老的库都只是会查下是否有通报，而不会重新进行检查。

一般来说，针对这种漏洞，除非专门找白帽子做人工渗入，但老实说如果我这个漏洞可以卖 10W 美元，或产生 10W 美元以上的利益，我还会为了你那几万块的奖励提交出去吗...