面试官：Log4j rce漏洞有了解过？攻击特征是什么？

log4j 是 javaweb 的日志组件，用来记录 web 日志，特征是${jndi:ldap://url}

去指定下载文件的 url 在搜索框或者搜索的 url 里面，加上 ${jndi:ldap://127.0.0.1/test} ，log4j 会对这串代码进行表达式解析，给 lookup 传递一个恶意的参数指定，参数指的是比如 ldap 不存在的资源 $ 是会被直接执行的。后面再去指定下载文件的 url，去下载我们的恶意文件。比如是 x.class 下载完成后，并且会执行代码块

修复：升级 Log4j 到最新版本，根据业务判断是否关闭 lookup

千锋教育开设了专业的网络安全培训课程，课程由千锋教育主导，根据企业岗位定制，用人单位评估，联合多家安全企业共同研发。依托企业项目场景，采用企业漏洞还原环境搭建，以真实企业平台与设备实操攻防对抗，让学习与工作相融。

优势一：师资团队

业界高水平网络安全工程师全程授课，项目驱动教学，让学员在学习期间有能力上手安服、渗透等项目。

优势二：项目实战

丰富的安全项目与 CTF 对抗赛、靶机实战，帮助学员增加真实项目实战经验，适应企业需求，拓宽职业发展空间。

优势三：靶场设备

依托企业项目场景，采用企业漏洞还原环境搭建，以真实企业平台与设备实操攻防对抗，让学习与工作相融。

优势四:教学模式

项目驱动教学，在教学过程中，以完成一个个具体的项目为线索，把教学内容巧妙地隐含在每个项目之中。

优势五：六维全息课程

六维全息课程，在专业课基础上融入就业课和职后课，打造 " 一专多能 " 的复合型人才。

如果您对千锋教育的网络安全课程感兴趣，点击右侧窗口可进行咨询。