小白写给菜鸟看的The log4j JNDI Attack咋回事

阿里程序员先向美国报告安全漏洞@博客园   不及时通报工信部@博客园   Log4j漏洞原理解析及复现@博客园

1. 窃以为这个漏洞算不上史诗级，黑客干不了啥

2. 如果认为是史诗级，也很好，安全意识强。那就同时向工信部和美国报告，最好先报告工信部，后者晚点

3. 悄悄地只向美国报告，倒也罢了，别发通告：“他爸爸家的程序员做出重大发现”，为全人类，为美国，还是为中国？

当你浏览网页时，浏览器要向Web/HTTP服务器发送请求并获取相应，例如连接到www.cnblogs.com的80端口后，发送GET /index.html请求以获取网页。User-Agent用于标识浏览器，正常情况下是Mozila FireFox xx.xx之类，但上图中黑客安排了一个内容特殊的字符串。

The Java Naming and Directory Interface (JNDI) is an application programming interface (API) that provides naming and directory functionality to applications written using the Java programming language. 大概其像手机上的联系人，根据名字能找到电话号码。

log4j是个Java库，用来打印日志的。没做过大系统的我，一直不明白一个豪华版printf怎么整得那么巨大的。

第4和第5步让我想起个笑话：演示计算机能听懂人话并执行，遇到有人大喊”格式化C盘，执行！“ 计算机就很老实地执行了。

虽然Java在虚拟机里运行，没有format c:的能力，但是读写文件可以。所以也许可以读取到管理员的密码，进而登录系统，然后就可以为所欲为了。或者可以整个特殊的Java类，触发Java虚拟机的漏洞，从而获得管理员权限或者读写敏感文件。

打红叉的是预防的手段。WTF is WAF? WAF=Web Application Firewall. 我Windows 10都开防火墙的——关键我不会关啊。database=数据库; codebase=代码库。