Log4j

介绍

Apache的一个开源项目，通过使用Log4j，我们可以控制日志信息输送的目的地是控制台、文件、GUI组件，甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等；我们也可以控制每一条日志的输出格式；通过定义每一条日志信息的级别，我们能够更加细致地控制日志的生成过程。最令人感兴趣的就是，这些可以通过一个配置文件来灵活地进行配置，而不需要修改应用的代码。

Log4j-组件安全复现

1. 创建Maven并命名为Log4jDemo
2. 找到对应版本Apache Log4j Core » 2.14.1，并导入至项目中pom.xml文件中
3. 并刷新Maven则导入成功
4. 在java下创建Log4jTest.java 文件,导入引入的第三方Log4j相关包
5. Log4j 使用： 代码使用 Log4j 2.x 提供的日志功能，通过 LogManager.getLogger 获取一个 Logger 实例，然后使用 Logger.error 记录错误日志。
6. 在 Logger.error(“{}”, code); 中，code 的值是 ${java:os}。这是 Log4j 的变量替换语法，其中 ${java:os} 表示执行 Java 系统属性（在这里是执行系统命令）。如果 code 的值是由用户提供的，那么存在潜在的安全风险，因为用户可以通过输入特定的内容来执行恶意代码。

测试log4j

创建 Log4jTest.java

import org.apache.logging.log4j.LogManager;
import org.apache.logging.log4j.Logger;


public class Log4jTest {

    //使用Log4j 实现错误日志输出
    private static final Logger logger = LogManager.getLogger(Log4jTest.class);

    public static void main(String[] args) {

        //如果这个code变量是可控的
        String code="${java:os}";
        logger.error("{}",code);
    }

}

运行后发现log4j将code参数中的内容当作命令执行