0x00 背景知識了解 JNDI 它的全稱就是Java Naming and DirectoryInterface Java命名和目錄接口，使用來為開發人查找和 訪問各種資源提供的統一通用接口。 它就是一組API接口，每個對象都有一組唯一的鍵值來綁定。 而將名字和對象綁定就可以 ...

環境搭建 依賴： ldap server : 測試代碼： 漏洞分析 官方文檔介紹log4j提供很多lookups，也正是因為它支持jndi的方式 ...

https://www.freebuf.com/vuls/316143.html 前言 最近Log4j2的JNDI注入漏洞（CVE-2021-44228）可以稱之為“核彈”級別。Log4j2作為類似JDK級別的基礎類庫，幾乎沒人能夠幸免。極盾科技技術總監對該漏洞進行復現和分析其形成原理 ...

前言 　　從一月初到春節這段時間一直在學習408和密碼學的相關知識，閑暇之余想起來考研期間（確切講是12月初）被曝出的log4j的漏洞。一方面，許多的公司以及大型企業都用到了這個開源項目，而且這個漏洞幾乎不需要任何特殊配置，因此幾乎人人中招；另一方面，在一個名叫《我的世界》的游戲的多人模式中 ...

log4j里有個Appender：AsyncAppender，這個Appender是用於解決在某一時間里大量的日志信息進入Appender如何去處理的問題。AsyncAppender采用的方案是這樣的，以下是AsyncAppender的工作原理圖： AsyncAppender采用的是生產者消費者 ...

/a/20211210A01JXN00 漏洞原理 官方表述是：Apache Log4j2 中存在JND ...

前言： 十幾天前，log4j被爆出“史詩級”漏洞。其危害非常大，影響非常廣。該漏洞非常容易利用，可以執行任意代碼。這個漏洞的影響可謂是重量級的。 漏洞描述： 由於Apache Log4j存在遞歸解析功能，未取得身份認證的用戶，可以從遠程發送數據請求輸入數據日志，輕松觸發漏洞，最終在目標上執行 ...

凌晨的漏洞，到底是什么問題？ 01 — 漏洞解析、復現 Log4j ...