V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
fangcan
V2EX  ›  程序员

关于 log4j2 漏洞的疑惑

  •  
  •   fangcan · 2021-12-21 10:08:06 +08:00 · 2744 次点击
    这是一个创建于 1070 天前的主题,其中的信息可能已经有所发展或是发生改变。

    因为我本人没做过安全测试和渗透测试的工作, 所以才有这个疑惑

    我看网上复现这个漏洞的方法也很简单,类似 xss 攻击。 所以不明白全世界范围内那么多公司,做了那么多的安全测试。 没理由这个 jndi 的漏洞会发现不了。

    后面我跟现公司的测试要了安全测试用例,确实是没有包含 jndi 的内容,是业界默认都不做这块的测试么?

    所以请教下做过测试的 v 友解答下

    7 条回复    2021-12-21 13:06:47 +08:00
    ruanimal
        1
    ruanimal  
       2021-12-21 10:16:53 +08:00
    是没想到一个日志库解析日志时会访问外部网络。。。
    cmdOptionKana
        2
    cmdOptionKana  
       2021-12-21 10:19:51 +08:00
    这与变魔术的情形一样,解密之前就是看不破,解密之后眼睛就知道该盯着哪里看了,人太容易有思维盲点。
    exiledkingcc
        3
    exiledkingcc  
       2021-12-21 10:20:44 +08:00
    大概是这个功能本来旧没有多少人用。
    而且很多项目里面有 log4j 是不是它自己用,而是依赖带过来的。
    kernelpanic
        4
    kernelpanic  
       2021-12-21 10:29:35 +08:00   ❤️ 2
    因为这不是一个漏洞,是 feature ,而且大家默认 log.xxx=println, 只是一个简单的输出内容到指定位置, 谁也不会想到一个 log 库会解析 jndi 地址
    fangcan
        5
    fangcan  
    OP
       2021-12-21 11:12:42 +08:00
    @ruanimal
    @cmdOptionKana
    @kernelpanic 因为我看复现的步骤很简单,所以简单的推断 如果有做 jndi 方面的测试,即使是不针对 log4j2 的测试 log4j2 的这个漏洞应该会顺带被测试出来吧? 所以才疑惑是不是业界都没有做 jndi 方面的攻击测试
    yolee599
        6
    yolee599  
       2021-12-21 13:04:53 +08:00 via Android
    如果这都要做测试,那测试的内容可就多了去了
    markgor
        7
    markgor  
       2021-12-21 13:06:47 +08:00
    @fangcan #5 发现了的人未必会公开,可以售卖。也可以自行利用。
    常规的安全测试针对的是已发生过的问题,不会对未发生过的进行测试或有案例。
    review 时候一般遇到古老的库都只是会查下是否有通报,而不会重新进行检查。

    一般来说,针对这种漏洞,除非专门找白帽子做人工渗入,但老实说如果我这个漏洞可以卖 10W 美元,或产生 10W 美元以上的利益,我还会为了你那几万块的奖励提交出去吗...
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5756 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 06:37 · PVG 14:37 · LAX 22:37 · JFK 01:37
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.