标签：Web Java 菜鸟 虚拟机 programming xx JNDI Attack

出大事了：中国程序员抢先预警「史诗」级漏洞，一句话拿捏全球服务器！席卷苹果特斯拉_IT新闻_博客园 (cnblogs.com)

 当你浏览网页时，浏览器要向Web/HTTP服务器发送请求并获取相应，例如连接到www.cnblogs.com的80端口后，发送GET /index.html请求以获取网页。User-Agent用于标识浏览器，正常情况下是Mozila FireFox xx.xx之类，但上图中黑客安排了一个内容特殊的字符串。

The Java Naming and Directory Interface (JNDI) is an application programming interface (API) that provides naming and directory functionality to applications written using the Java programming language. 大概其像手机上的联系人，根据名字能找到电话号码。

log4j是个Java库，用来打印日志的。没做过大系统的我，一直不明白一个豪华版printf怎么整得那么巨大的。

第4和第5步让我想起个笑话：演示计算机能听懂人话并执行，遇到有人大喊”格式化C盘，执行！“ 计算机就很老实地执行了。

虽然Java在虚拟机里运行，没有format c:的能力，但是读写文件可以。所以也许可以读取到管理员的密码，进而登录系统，然后就可以为所欲为了。或者可以整个特殊的Java类，触发Java虚拟机的漏洞，从而获得管理员权限或者读写敏感文件。

打红叉的是预防的手段。WTF is WAF? WAF=Web Application Firewall. 我Windows 10都开防火墙的——关键我不会关啊。database=数据库; codebase=代码库。

标签：Web,Java,菜鸟,虚拟机,programming,xx,JNDI,Attack
来源： https://www.cnblogs.com/funwithwords/p/15686806.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。