O co chodzi w błędzie Log4j i atakach związanych z tym błędem?

Cały Internet jest zalany informacjami o “log4j”. Jeśli nadal nie do końca rozumiesz o co w tym chodzi to zobacz najnowszy film kolegi Kacpra Szurka na ten temat.

Kolega próbuje wyjaśnić podatność CVE-2021-44228 na prostym kawałku kodu.

  • Dowiesz się jak użyć Canary Tokens do wykrycia podatności w swoich aplikacjach.
  • Zobaczysz, że można wykraść zmienne środowiskowe korzystając z interactsh.
  • Pokazuję, że podatne mogą być wszystkie wersje Javy – te nowsze i te starsze.
  • Zmienna “LOG4J_FORMAT_MSG_NO_LOOKUPS” nie zawsze rozwiązuje problem.
  • Wersja 2.15.0 nie jest najlepszym rozwiązaniem.
Tagi:

Podziel się postem :)

Najnowsze:

Bezpieczeństwo

Menadżer haseł Norton złamany! Wyciek danych użytkowników

Znany producent oprogramowania odpowiadającego za bezpieczeństwo naszych komputerów i danych — Norton — poinformował o złamaniu zabezpieczeń usługi LifeLock, służącej m.in. do przechowywania haseł. Hakerzy mogli uzyskać dostęp do kont niektórych klientów.

Bezpieczeństwo

Każdy smartfon można podsłuchać. Wystarczy sprytny trik z akcelerometrem

Ataki bocznokanałowe to fascynująca sprawa. Przyznajcie, pomysły takie jak wykorzystanie regulacji prędkości obrotowej wentylatorów komputera do przesyłania danych alfabetem Morse’a robią wrażenie. Oto kolejny z nich. Nie mniej zaskakujący, za to potencjalnie niebezpieczny, bo pozwala napastnikowi podsłuchiwać rozmowy. W pewnym sensie.

Oprogramowanie

Programiści wolą Linuksa od Maca. Dlaczego?

Linux wygrywa z systemem macOS wśród programistów. Kodowanie to jedno z tych zastosowań, wśród których „Pingwinek” odgrywa naprawdę dużą rolę.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *