java之log4j反序列化
1 审计思路
以Log4j漏洞审计为案例,谈一谈审计如何快速的锁定通用型漏洞
1.1 确定源码是否引用了漏洞所属的开源组件
该项目是一个maven项目,直接在Pom文件中搜索log4j的jar包及版本引用问题,如果该版本受影
响,进入下一步
1.2 寻找漏洞的入口
1.3 逐个排查入口是否有效,有效即可复现
2 靶场复现分析
2.1 注意JDK设置
推荐使用jdk1.8.0_101,否则可能无法触发漏洞关于Jdk环境变量切换注意事项:
(1)win10jdk版本切换后,即使重新打开cmd或重启电脑均可能环境变量不生效(对于免安装版的
jdk),需要删除以下文件即可
原文地址:https://blog.csdn.net/weixin_45653478/article/details/140572346
免责声明:本站文章内容转载自网络资源,如本站内容侵犯了原著者的合法权益,可联系本站删除。更多内容请关注自学内容网(zxcms.com)!