为什么这里居然没有人谈论Apache Log4j2 漏洞?
在墙外的葱友不趁着此漏洞从微信支付宝搞点反共经费,搞个脱支基金?没什么难度啊。一直没人提,真是奇怪。?
java -Dlog4j2.formatMsgNoLookups=true
this is a mitigation?
好像这样就可以了?
this is a mitigation?
好像这样就可以了?
这是一个关于全球化的不错比喻
开源软件和全球化一道带来便捷和成本低廉,也会被恶意人利用来做坏事。
随着开源参与的扩大,这种最近事情越来越多(linux内河和nodejs cli的都被渗透)
如何调整全球化既保持开放又保持可信排除不守规矩的国家个人会是未来的挑战
开源软件和全球化一道带来便捷和成本低廉,也会被恶意人利用来做坏事。
随着开源参与的扩大,这种最近事情越来越多(linux内河和nodejs cli的都被渗透)
如何调整全球化既保持开放又保持可信排除不守规矩的国家个人会是未来的挑战
大陸沒得搞, 白帽技術最多被忽略, 黑帽技術那可太危險了, 以前有個烏雲網是漏洞平臺被關停.
log4j这帮人真的恶心, 一个日志工具, 不做好自己的本行, 非要搞引用解析之类花里胡哨的功能才导致现在的局面. 别人java的占位符摆在那千方百计地阻止注入, log4j对这种思想就完全不在乎, 一副谁都要给自己让路的嘴脸.
另外从金融软件搞钱即使有漏洞也不容易, 这种类型和体量的应用, 前后端分离一般都做得很好. 这个漏洞的jndi之类的魔法需要对后端的api有一定了解, 这些应用显然是不会对你开放api的, 得有内鬼才行
另外从金融软件搞钱即使有漏洞也不容易, 这种类型和体量的应用, 前后端分离一般都做得很好. 这个漏洞的jndi之类的魔法需要对后端的api有一定了解, 这些应用显然是不会对你开放api的, 得有内鬼才行
bba现在已经不接受白帽提交这个漏洞了。因为肯定已经在修,拿别的不内置log4j的框架先顶用即可。
漏洞是大,但并不意味着一定要修补才能避险,换个平替就是了,我对于Burberry风衣就是这个态度。
漏洞是大,但并不意味着一定要修补才能避险,换个平替就是了,我对于Burberry风衣就是这个态度。
你确定微信支付宝是用apache服务器的吗?现在好多是nginx或litespeed,有的甚至可能只是nodejs
