Почему объединение в log4j подвержено атакам? - Цифровое Кемерово

Почему объединение в log4j подвержено атакам? ⇐ JAVA

Ответить

1 сообщение • Страница 1 из 1

Anonymous

Почему объединение в log4j подвержено атакам?

Цитата

Сообщение Anonymous » 26 окт 2024, 18:46

Здесь: https://logging.apache.org/log4j/2.x/ma ... ice-concat
Так говорят об использовании конкатенация строк в log4j:

Что еще более важно, этот подход подвержен атакам! Представьте себе, что userId
предоставляется пользователем со следующим содержимым: заполнители
для несуществующих аргументов, вызывающих сбой: {} {} {dangerousLookup}
Может кто-нибудь объяснить, почему это опасно? Я не понимаю, какое отношение конкатенация строк имеет к этому «опасному поиску».

Подробнее здесь: https://stackoverflow.com/questions/791 ... to-attacks

1729957598

Anonymous

Здесь: https://logging.apache.org/log4j/2.x/manual/getting-started.html#best-practice-concat
Так говорят об использовании конкатенация строк в log4j:

Что еще более важно, этот подход подвержен атакам! Представьте себе, что userId
предоставляется пользователем со следующим содержимым: заполнители
для несуществующих аргументов, вызывающих сбой: {} {} {dangerousLookup}
Может кто-нибудь объяснить, почему это опасно? Я не понимаю, какое отношение конкатенация строк имеет к этому «опасному поиску». 

Подробнее здесь: [url]https://stackoverflow.com/questions/79128837/why-is-concatenation-in-log4j-prone-to-attacks[/url]

Ответить

1 сообщение • Страница 1 из 1

Быстрый ответ

Заголовок:

Имя пользователя:

Изменение регистра текста:

Смайлики

Ещё смайлики…

К этому ответу прикреплено по крайней мере одно вложение.

Если вы не хотите добавлять вложения, оставьте поля пустыми. Можно прикреплять файлы, перетаскивая их в окно сообщения.

Максимально разрешённый размер вложения: 15 МБ.

Имя файла:

Комментарий к файлу:

Имя файла	Комментарий к файлу	Размер	Статус

Вернуться в «JAVA»