Apache Log4j 2 远程代码执行漏洞

2021/12/11 20:04:47      点击:

这两天爆出的Apache Log4j 2 远程代码执行漏洞,让很多人都睡不着觉了,各种安全公司,都是相互抄袭文章,除了升级,基本没有提供有多少实用价值的东西。多搜索国外的资源,还是很好的,至少让你更加明白漏洞是如何利用的。漏洞的利用无非是GET POST请求网页提交特殊的参数,看了国外的漏洞入侵案例,瞬间明白如何应对。对于网站,一般只准GET POST HEAD三种方式情况,其它的一律拒绝处理。

这个漏洞的利用,是构建特殊的http_user_agent知道了这个,就好解决了,对于NGINX,处理起来非常的简单。

if ($http_user_agent ~ "jndi:ldap") {
return 403;
}
if ($http_user_agent ~ "jndi:logging") {
return 403;
}
if ($http_user_agent ~ "curl") {
return 403;
}
如果还不放心,再增加下提交参数的过滤:

if ($query_string ~ "jndi:ldap") {
return 403;
}
if ($query_string ~ "jndi:logging") {
return 403;
}
这样就搞定了,软件也不用升级。