malyj_gorgan: (Default)
malyj_gorgan ([personal profile] malyj_gorgan) wrote2021-12-24 01:04 pm
  • Add Memory
  • Share This Entry
Entry tags:

log4j ?

Слухайте, а хтось може в парі абзаців пояснити, що то таке сабж і з чим його їдят? Дідько з нею, з його vulterability'ею, я хочу зрозуміти, чим був такий хороший чи зручний чи потрібний сам log4j, що та вульнерабіліті виявилася такою проблємною? Тільки пояснити так, на хлопский розум, без відсилань в непотрібні абревіатури.
Дякую!
Flat | Top-Level Comments Only

[personal profile] mprotsenko 2021-12-31 08:53 pm (UTC)(link)
який став можливим через то, що хтось добре розібрався в джаваскріпті на вебсайті організації. Ми не знаємо, чи ця група вичислила це методом тика, чи вкрала код, чи там є інсайдер, але крадуть саме через діру в коді.

Якщо ти про той випадок, який я пам'ятаю - то там ніби то діра була в тому, що був дозволений brute force без rate limiting та exponential backoffs.

(А джаваскріпт на вебсайті красти не треба - F12 натиснув, і ти його бачиш, і навіть обфускація погано допомагає.)
malyj_gorgan: (Default)

[personal profile] malyj_gorgan 2021-12-31 10:54 pm (UTC)(link)
Ну, значить, не джаваскріпт, а що там присилає помилки з бекенду, а джаваскріпт їх показує.
Flat | Top-Level Comments Only