我对log 4shell问题不理解的是......假设我们有一个使用log4j模块的简单程序。这个程序不像Web服务器或任何应用程序那样为Internet/网络提供应用程序服务,它是否会以任何方式受到攻击?此致乌布
mi7gmzs61#
任何使用log4j2的应用程序都可能受到攻击,桌面应用程序也是如此,只要执行系统启用了到Internet的连接,它们就不会为Internet提供任何服务。原因:当应用程序记录特定字符串时,该应用程序容易受到攻击。例如,这可能是您使用Java桌面应用程序打开的文件的内容。如果您被诱骗使用已知易受攻击的桌面应用程序打开准备好的文件,则只需打开该文件即可记录该字符串。这将从Internet加载任意代码(几乎任何设备都在不断地连接到互联网),并在您的机器上执行该代码。所以是的,任何java应用程序都可能受到影响。不限于服务web内容的服务器应用程序。如果你的程序只有静态的日志信息,那么它是不可利用的。但是几乎所有的程序都会记录任何类型的“用户”输入。只是你并不总是知道你现在正在提供一个程序输入。
x9ybnkn62#
显然不是。)但是如果你以后有互联网连接,那么它将是:)
2条答案
按热度按时间mi7gmzs61#
任何使用log4j2的应用程序都可能受到攻击,桌面应用程序也是如此,只要执行系统启用了到Internet的连接,它们就不会为Internet提供任何服务。
原因:
当应用程序记录特定字符串时,该应用程序容易受到攻击。例如,这可能是您使用Java桌面应用程序打开的文件的内容。如果您被诱骗使用已知易受攻击的桌面应用程序打开准备好的文件,则只需打开该文件即可记录该字符串。这将从Internet加载任意代码(几乎任何设备都在不断地连接到互联网),并在您的机器上执行该代码。
所以是的,任何java应用程序都可能受到影响。不限于服务web内容的服务器应用程序。
如果你的程序只有静态的日志信息,那么它是不可利用的。但是几乎所有的程序都会记录任何类型的“用户”输入。只是你并不总是知道你现在正在提供一个程序输入。
x9ybnkn62#
显然不是。)
但是如果你以后有互联网连接,那么它将是:)