世超|让全世界大厂都手忙脚乱的代码漏洞，是怎么一步步成为噩梦的？

最近几天，世超在各家互联网大厂的程序员朋友们，都快被一个叫 Log4Shell 的史诗级漏洞给折磨疯了！
这个漏洞源于一个叫 Log4J2 （ Log For Java 2 ）的 Java 开源日志框架，它在用 Java 敲代码的码农群体里可以说是无人不知，无人不晓。

文章插图
它就好像早年间打《魔兽世界》一定要装的大脚插件一样，属于真正意义上的 “ 咖啡伴侣 ” ，很少有 Java 程序不用这个组件。

文章插图
就是这么一个要命的底层日志框架，被发现透了一个洞。。。
最先发现漏洞的，是阿里云安全团队中，一位叫 Chen Zhaojun 的大佬。
据他的说法，这个漏洞很早就被国外的安全代码扫描平台扫出来了，圈内的程序员大佬们也都在等待官方的修复，没有声张。
“ 上百万刀的安全架构，在 Log4J2 漏洞面前一文不值。。。 ” ▼

文章插图
很快啊，包括了阿里、腾讯、百度、网易、新浪等一众国内的互联网大厂纷纷中枪，都被圈在了受影响的范围之内。
有博主还收到了腾讯云发来的防护短信。 ▼

文章插图
不仅仅是大厂的服务系统，耳机、电脑、车机等硬件系统等也无一幸免。。。

文章插图
不夸张的说，这个漏洞要是不及时修补，下场就是被如饥似渴的黑客们捅烂，进一步威胁网络安全。
他们会有效利用 “ 零日漏洞 ” （指的是发现后立即被恶意利用的安全漏洞）发动零时差攻击，抢在安全补丁出来之前，对服务器造成杀伤。

文章插图
就连我们日常使用的手机、电脑软件（大部分都是拿 Java 写的），也都将暴露在黑客的的攻击范围内，想捅哪里捅哪里，把你的电脑挟持过来挖矿也不是没可能。
就和打游戏偷家似的， so easy 。。。
不过有意思的是，也有乐子人利用这个漏洞，发现了特斯拉把国内数据上传到美利坚服务器的尴尬事儿。

文章插图
不知道这个数据有没有包含用户数据，但我建议龙马哥先别急着解释这茬了，还是赶紧把这个漏洞修修吧，不然到时候可能真的不好收场。

文章插图
咳咳，扯远了。。。
说回这次的漏洞，最可怕的地方在于实现起来没什么门槛，只要用一串简单的字符，就能轻易攻破服务器，并在上面运行各种代码。。。
这别说是窃取个人信息了，黑客想要远程挟持、瘫痪企业级的服务器，那也是毫无阻碍。
那黑客到底是怎么样利用漏洞，用几串字符就轻松攻破服务器的呢？

文章插图
要整明白这个问题，我们得先搞清楚啥是日志。
众所周知啊，程序员在敲完一段代码之后，肯定不可能马上拿来用，而要通过反复的测试来验证代码的可行性。

文章插图
但代码本身在跑的时候，处于一个黑箱状态，如果放任它瞎跑的话，跑到一半卡住，根本不知道是错在哪一步上。
这就好像是做数学题时候如果没草稿纸，在心里算总是没个底。
这时候，日志的作用就体现出来了，它就好像是一大张草稿纸，能在上面做任何你自己看的懂得步骤和标记，方便随时随地验算。
本质上日志是程序员们经常使用的一个工具，它把代码在测试过程中的每一步都给记录下来，跑完再回头 Debug 的时候，就很有针对性，效率也高。

文章插图
【 世超|让全世界大厂都手忙脚乱的代码漏洞，是怎么一步步成为噩梦的？】而 Log4J2 ，就是这么一个开源的日志框架，它里面整合了不少在修改代码时会用到的常用功能，比如日志管理、输出变量等实用功能。

文章插图
这次的高危漏洞就是源于 Log4J2 中一个叫 Lookups 的功能。
从字面上理解，这个功能就是一个用来搜索内容的接口，想要搜些啥，那就要靠代码去实现了。