小白写给菜鸟看的The log4j JNDI Attack咋回事

出大事了：中国程序员抢先预警「史诗」级漏洞，一句话拿捏全球服务器！席卷苹果特斯拉_IT新闻_博客园 (cnblogs.com)

 当你浏览网页时，浏览器要向Web/HTTP服务器发送请求并获取相应，例如连接到www.cnblogs.com的80端口后，发送GET /index.html请求以获取网页。User-Agent用于标识浏览器，正常情况下是Mozila FireFox xx.xx之类，但上图中黑客安排了一个内容特殊的字符串。

The Java Naming and Directory Interface (JNDI) is an application programming interface (API) that provides naming and directory functionality to applications written using the Java programming language. 大概其像手机上的联系人，根据名字能找到电话号码。

log4j是个Java库，用来打印日志的。没做过大系统的我，一直不明白一个豪华版printf怎么整得那么巨大的。

第4和第5步让我想起个笑话：演示计算机能听懂人话并执行，遇到有人大喊”格式化C盘，执行！“ 计算机就很老实地执行了。

虽然Java在虚拟机里运行，没有format c:的能力，但是读写文件可以。所以也许可以读取到管理员的密码，进而登录系统，然后就可以为所欲为了。或者可以整个特殊的Java类，触发Java虚拟机的漏洞，从而获得管理员权限或者读写敏感文件。

打红叉的是预防的手段。WTF is WAF? WAF=Web Application Firewall. 我Windows 10都开防火墙的——关键我不会关啊。database=数据库; codebase=代码库。

标签：Web,Java,菜鸟,虚拟机,programming,xx,JNDI,Attack
来源： https://www.cnblogs.com/funwithwords/p/15686806.html