In diesem Projekt findet ihr die Folien zum Vortrag. Die Folien wurden mit Hilfe von reveal.js erstellt.
- Direkt öffnen unter https://diva-e.github.io/talk-log4shell
- Als PDF
- Oder lokal mit:
npm install npm start
- Öffnen der Folien im Browser: http://localhost:3000/
- Zum drucken unter folgender URL öffnen: http://localhost:3000/?print-pdf
Es ist Vorweihnachtszeit, alle freuen sich auf den baldigen Urlaub, Amazon hat vor kurzem einen der größten Ausfälle im AWS hinter sich gebracht und dann erschüttert plötzlich eine Sicherheitslücke in Log4j 2 die loggende Java-Welt (CVE-2021-44228).
Ein paar Tage später sind die Applikationen gepatched, hoffentlich nicht erfolgreich angegriffen worden und die Aufregung und die Lücke sind schnell vergessen. Aber was steckt eigentlich hinter dieser und ähnlichen Lücken? Wie schleuse ich Bytecode in eine JVM? Was ist Remote Class Loading oder ein Deserialisierungs-Angriff?
Nach an ein paar Grundlagen nehmen wir euch mit in die IDE und demonstrieren verschiedene Angriffe über eine verwundbare Log4j 2 Version. Also macht euch gefasst auf wenig Theorie und viel Code den man so im Entwickleralltag eigentlich nicht schreiben würde 😁
Der Vortrag war auf folgenden Konferenzen zu sehen:
Lokal bauen und die Änderungen im doc Verzeichnis zurück in den main Branch pushen.