面試官:Log4j rce漏洞有了解過?攻擊特征是什么?
log4j 是 javaweb 的日志組件,用來記錄 web 日志,特征是${jndi:ldap://url}
去指定下載文件的 url 在搜索框或者搜索的 url 里面,加上 ${jndi:ldap://127.0.0.1/test} ,log4j 會(huì)對(duì)這串代碼進(jìn)行表達(dá)式解析,給 lookup 傳遞一個(gè)惡意的參數(shù)指定,參數(shù)指的是比如 ldap 不存在的資源 $ 是會(huì)被直接執(zhí)行的。后面再去指定下載文件的 url,去下載我們的惡意文件。比如是 x.class 下載完成后,并且會(huì)執(zhí)行代碼塊
修復(fù):升級(jí) Log4j 到最新版本,根據(jù)業(yè)務(wù)判斷是否關(guān)閉 lookup
千鋒教育開設(shè)了專業(yè)的網(wǎng)絡(luò)安全培訓(xùn)課程,課程由千鋒教育主導(dǎo),根據(jù)企業(yè)崗位定制,用人單位評(píng)估,聯(lián)合多家安全企業(yè)共同研發(fā)。依托企業(yè)項(xiàng)目場(chǎng)景,采用企業(yè)漏洞還原環(huán)境搭建,以真實(shí)企業(yè)平臺(tái)與設(shè)備實(shí)操攻防對(duì)抗,讓學(xué)習(xí)與工作相融。
優(yōu)勢(shì)一:師資團(tuán)隊(duì)
業(yè)界高水平網(wǎng)絡(luò)安全工程師全程授課,項(xiàng)目驅(qū)動(dòng)教學(xué),讓學(xué)員在學(xué)習(xí)期間有能力上手安服、滲透等項(xiàng)目。
優(yōu)勢(shì)二:項(xiàng)目實(shí)戰(zhàn)
豐富的安全項(xiàng)目與 CTF 對(duì)抗賽、靶機(jī)實(shí)戰(zhàn),幫助學(xué)員增加真實(shí)項(xiàng)目實(shí)戰(zhàn)經(jīng)驗(yàn),適應(yīng)企業(yè)需求,拓寬職業(yè)發(fā)展空間。
優(yōu)勢(shì)三:靶場(chǎng)設(shè)備
依托企業(yè)項(xiàng)目場(chǎng)景,采用企業(yè)漏洞還原環(huán)境搭建,以真實(shí)企業(yè)平臺(tái)與設(shè)備實(shí)操攻防對(duì)抗,讓學(xué)習(xí)與工作相融。
優(yōu)勢(shì)四:教學(xué)模式
項(xiàng)目驅(qū)動(dòng)教學(xué),在教學(xué)過程中,以完成一個(gè)個(gè)具體的項(xiàng)目為線索,把教學(xué)內(nèi)容巧妙地隱含在每個(gè)項(xiàng)目之中。
優(yōu)勢(shì)五:六維全息課程
六維全息課程,在專業(yè)課基礎(chǔ)上融入就業(yè)課和職后課,打造 " 一專多能 " 的復(fù)合型人才。
如果您對(duì)千鋒教育的網(wǎng)絡(luò)安全課程感興趣,點(diǎn)擊右側(cè)窗口可進(jìn)行咨詢。
京公網(wǎng)安備 11010802030320號(hào)