*Przedmowa* Film dotyczy aplikacji internetowych jako jednego z wielu przykładów podatności Log4j, z której Podatność Jednak każde oprogramowanie wykorzystujące Log4j jest potencjalnie zagrożone.
W listach Log4j (patrz linki poniżej) produktów i dostawców, możesz przeczytać wszystkie duże nazwy w świecie oprogramowania, takie jak Microsoft, Dell, IBM, SAP, Teamviewer itp.
Narażeni są zarówno online, jak i offline, osoby prywatne, a także firmy i inne instytucje, po prostu wszyscy i potencjalnie każdy produkt, który jest wyposażony w oprogramowanie wykorzystujące Log4j (dochodzenia trwają, wymieniono już setki dostawców i produktów o znaczeniu globalnym):
https://www.bleepingcomputer.com/news/security/log4j-list-of-vulnerable-products-and-vendor-advisories/
https://github.com/NCSC-NL/log4shell/tree/main/software
https://www.rumble.run/blog/finding-log4j/
Ten krótki film jest o Log4j Podatność, która obecnie zagraża internetowi na całym świecie.
W naszym demo, krótko pokazujemy, jak atakujący wykorzystujący lukę Log4j nawiązuje zdalne połączenie z atakowanym systemem poprzez zwykłe formularze wejściowe na stronie internetowej; w tym przykładzie atakujący może całkowicie kontrolować aplikację internetową, a następnie serwer WWW.
Wystarczy użyć Podatność dotyczy zwykle dowolnego pola wejściowego na stronie internetowej, np. pola wyszukiwania w sklepie internetowym, technologia używana za polami wyszukiwania w sklepach internetowych to zwykle ElasticSearch i ElasticSearch jest podatny na ataki.
Z Log4j-.Podatność przegradza prostotę w exploitability.
W tym przykładzie atakujący uzyskuje prawa rootaSerwer WWW działa w kontekście root, co umożliwia całkowite przejęcie serwera.
Można wydobyć dowolne dane lub przeprowadzić dalsze ataki hakerskie na aplikację internetową lub innych uczestników Internetu.
Zapraszamy do konsultacji z nami w celu uzyskania porady lub rozwiązania problemów z Log4j. Podatnośćn w swojej firmie.
Mamy na pokładzie doświadczonych programistów i administratorów Java (Linux + Windows), którzy chętnie sprawdzą Twoje systemy IT i przeprowadzą audyt kodu źródłowego wdrożonego oprogramowania, jak również Systemy i oprogramowanie IT mogą być zabezpieczone przed Log4j.
W przypadku incydentów w związku z Log4j może istnieć obowiązek zgłoszenia władzom, np. państwowemu organowi ochrony danych, jeśli dane osobowe zostały naruszone.
Demo odbyło się na naszych systemach testowych, nikt nie został poszkodowany i nikt nie popełnił żadnego wykroczenia.