欧美激情国产精品视频一区二区,欧美人做人爱免费视频完整版,欧美变态深喉囗交XXXX

    <span id="wpjll"><output id="wpjll"></output></span>
  1. <optgroup id="wpjll"><i id="wpjll"><dfn id="wpjll"></dfn></i></optgroup>
    <acronym id="wpjll"></acronym>

    <sub id="wpjll"></sub>

    Log4Shell是什么?從Log4j漏洞說起

    創提信息
    2022/01/04

    分享到

    在開源Apache日志記錄庫Log4j中已發現了一個影響使用Java的設備和應用程序的新漏洞。該漏洞被稱為Log4Shell,是目前互聯網上最重大的安全漏洞,其嚴重程度為10分(滿分10分),其影響有愈演愈烈之勢。幸運的是,Perforce靜態分析和SAST工具——Helix QAC和Klocwork——可以提供幫助。

     
    在這里,我們將解釋Log4j漏洞是什么,提供一個Log4j示例,并解釋像Klocwork這樣的SAST工具如何幫助預防和檢測如Log4Shell這樣的漏洞。本文將包含如下內容:
     
         ? Log4j是什么?
     
         ? Log4Shell是什么:從Log4j漏洞說起
     
         ? 哪些設備和應用程序容易受到Log4Shell的攻擊?
     
         ? Klocwork如何檢測Log4j漏洞
     
         ? 如何使用Klocwork防止Log4j漏洞


    Log4j是什么?
     
    Log4j是一個Java庫,用于在企業應用程序(其中包括自定義應用程序、網絡和許多云計算服務)中記錄錯誤日志。
     
    并且,在過去十年里為服務器和客戶端應用程序開發的Java程序中,有很大一部分都使用了Log4j。


    Log4Shell是什么:從Log4j漏洞說起
     
    Log4Shell,又稱為CVE-2021-4428,是一種影響Apache Log4j2核心功能的高嚴重性漏洞。該漏洞使攻擊者能夠實現遠程代碼執行。這使他們能夠:
     
         ? 通過受影響的設備或應用程序訪問整個網絡
     
         ? 運行任意代碼
     
         ? 訪問受影響的設備或應用程序上的所有數據
     
         ? 刪除或加密文件
     
    受影響的版本,Log4j版本2 (Log4j2),包含在:
     
         ? Apache Struts2
     
         ? Apache Solr
     
         ? Apache Druid
     
         ? Apache Flink
     
         ? ElasticSearch
     
         ? Flume
     
         ? Apache Dubbo
     
         ? Logstash
     
         ? Kafka
     
         ? Spring-Boot-starter-log4j2
     
         ? Swift frameworks


    哪些設備和應用程序容易受到Log4Shell的攻擊?
     
    如果連接到互聯網的設備運行Apache Log4j 2.0-2.14.1版本,那么它們很容易受到Log4Shell的攻擊。
     
    如何檢測和預防最常見的軟件安全漏洞

     
    Log4Shell只是眾多潛在的安全漏洞之一。那么我們應該如何有效檢測和解決最常見的安全漏洞?


    Klocwork如何檢測Log4j漏洞
     
    作為一個靜態分析和SAST工具,Klocwork會檢查您的源代碼,找出可能會讓您的設備或應用程序受到攻擊的設計和編碼缺陷,比如受污染的數據問題。Klocwork可以沿著代碼中所有可能的執行路徑跟蹤受污染的、不受信任的或其他可疑的數據,包括Log4Shell (CVE-2021-4428)。
     
    Klocwork的SV.LOG_FORGING檢查項可以“開箱即用”,能夠檢測被傳到日志記錄程序中的受污染的數據。從Perforce Support處獲取的一個小小的配置文件可擴展該檢查項來檢測Log4j漏洞。
     
    此外,Klocwork還與Secure Code Warrior進行了集成,這有助于為這些類型的缺陷提供修復指導,并且提供額外的軟件安全培訓。Secure Code Warrior高亮顯示了安全漏洞,并提供了如何修復這些錯誤的指導。


    如何使用Klocwork防止Log4j漏洞
     
    現在您已經更好地理解了Log4j漏洞是什么以及Klocwork如何識別它,下面是一個Log4j示例。此外,我們還提供了一個詳細的指南,以演示Klocwork如何幫助您檢測和修復這個嚴重的漏洞。
     
    1. 使用Klocwork SV.LOG_FORGING檢查項
     
    要使用Klocwork的SV.LOG_FORGING檢查項:請轉到該應用程序的Klocwork Portal項目,添加配置文件,并確認SV.LOG_FORGING檢查項已啟用。
     
    該擴展將Log4j方法添加到SV.LOG_FORGING的受污染數據的危險目的地列表中。這使您能夠識別Log4j漏洞——Log4Shell。
     
    2. 定位Log4j漏洞
     
    一旦整個應用程序集成分析完成,任何錯誤或漏洞都會被高亮顯示。
     
    下面的序列高亮顯示了日志偽造是如何實現的,并使攻擊者能夠利用日志記錄來操縱它們:


    Log4Shell是什么--從Log4j漏洞說起-1.jpg

     
    一旦分析完成,Klocwork將在第5行報告漏洞。


    3. 防止Log4j漏洞缺陷
     
    Apache已經發布了Log4j 2.16的新版本,該版本不包含Log4Shell漏洞。
     
    此外,如果您無法更新到最新版本,Apache也提供了解決方案來緩解Log4j漏洞。
     
    In releases >=2.10, this behavior can be mitigated by setting either the system property log4j2.formatMsgNoLookups or the environment variable LOG4J_FORMAT_MSG_NO_LOOKUPS to true.
     
    For releases from 2.0-beta9 to 2.10.0, the mitigation is to remove the JndiLookup class from the classpath: zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class.


    使用Klocwork阻止Log4Shell等漏洞
     
    Log4Shell是一個值得關注的軟件安全漏洞——不幸的是,它不是唯一一個。它只是CWE-117和OWASP A10:2017所強調的眾多類型的安全漏洞的一個示例。
     
    通過使用SAST工具(如Klocwork),您可以輕松地執行軟件安全標準(如CWE、OWASP和CERT),以更好地檢測、預防和消除軟件安全漏洞(如Log4Shell)。
     
    若想親自體驗Klocwork如何簡單地通過盡早識別漏洞來保護您的軟件,今天就點擊網頁右上角注冊申請免費試用吧。

    欧美激情国产精品视频一区二区,欧美人做人爱免费视频完整版,欧美变态深喉囗交XXXX