这是一个创建于 854 天前的主题,其中的信息可能已经有所发展或是发生改变。
因为我本人没做过安全测试和渗透测试的工作, 所以才有这个疑惑
我看网上复现这个漏洞的方法也很简单,类似 xss 攻击。 所以不明白全世界范围内那么多公司,做了那么多的安全测试。 没理由这个 jndi 的漏洞会发现不了。
后面我跟现公司的测试要了安全测试用例,确实是没有包含 jndi 的内容,是业界默认都不做这块的测试么?
所以请教下做过测试的 v 友解答下
 |
1
ruanimal 2021-12-21 10:16:53 +08:00
是没想到一个日志库解析日志时会访问外部网络。。。
|
 |
2
cmdOptionKana 2021-12-21 10:19:51 +08:00
这与变魔术的情形一样,解密之前就是看不破,解密之后眼睛就知道该盯着哪里看了,人太容易有思维盲点。
|
 |
3
exiledkingcc 2021-12-21 10:20:44 +08:00
大概是这个功能本来旧没有多少人用。
而且很多项目里面有 log4j 是不是它自己用,而是依赖带过来的。 |
 |
4
kernelpanic 2021-12-21 10:29:35 +08:00  2
因为这不是一个漏洞,是 feature ,而且大家默认 log.xxx=println, 只是一个简单的输出内容到指定位置, 谁也不会想到一个 log 库会解析 jndi 地址
|
 |
5
fangcan OP @ruanimal
@cmdOptionKana @kernelpanic 因为我看复现的步骤很简单,所以简单的推断 如果有做 jndi 方面的测试,即使是不针对 log4j2 的测试 log4j2 的这个漏洞应该会顺带被测试出来吧? 所以才疑惑是不是业界都没有做 jndi 方面的攻击测试 |
 |
6
yolee599 2021-12-21 13:04:53 +08:00 via Android
如果这都要做测试,那测试的内容可就多了去了
|
Select Language