JNDI和LDAP:由 Log4j 注入漏洞引出的概念

最新推荐文章于 2025-07-04 09:13:52 发布
最新推荐文章于 2025-07-04 09:13:52 发布
阅读量2k 收藏 5
点赞数 2
CC 4.0 BY-SA版权
分类专栏: 《Java从入门到精通》 文章标签: jndi ldap 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44259720/article/details/122092850

大家好,前段时间由一条 Log4j 官网发布的漏洞信息引起了业内的轩然大波,想必当时很多程序员和我一样 —— 连夜加班升级系统。

事情过去以后,我开始认真研究 Log4j 远程代码注入漏洞产生的原因,其中就遇到了 JNDI 和 LDAP 的概念,花了一会功夫总结一下:

1、JNDI

简单来说,JNDI (Java Naming and Directory Interface) ,是SUN公司提供的一种标准的Java命名系统接口,它为开发人员查找和访问各种资源提供了统一的通用接口,可以用来定位用户、网络、机器、对象和服务等各种资源。NDI提供统一的客户端API,通过不同的服务供应接口(SPI)的实现,由管理者将JNDI API映射为特定的命名服务和目录系统,使得Java应用程序可以和这些命名服务和目录服务之间进行交互。

JNDI底层支持RMI远程对象,RMI注册的服务可以通过JNDI接口来访问和调用。 

JNDI支持多种命名和目录提供程序(Naming and Directory Providers),RMI注册表服务提供程序(RMI Registry Service Provider)允许通过JNDI应用接口对RMI中注册的远程对象进行访问操作。将RMI服务绑定到JNDI的一个好处是更加透明、统一和松散耦合,RMI客户端直接通过URL来定位一个远程对象,而且该RMI服务可以和包含人员,组织和网络资源等信息的企业目录链接在一起。 

上面提到了命名服务与目录服务,他们又是什么呢?

1.1

最低0.47元/天 解锁文章

200万优质内容无限畅学
RMI、JNDILDAP介绍+log4j漏洞分析
HBohan的博客
02-28 2437
本篇主要介绍java的RMI、JNDILDAP,在后面会详细分析log4jjndi注入原理。
Log4j2的JNDI注入漏洞原理分析与思考
2401_85763924的博客
06-17 1008
通过JNDI,可以将数据库相关的配置在一个支持JNDI服务的容器(通常Tomat等Web容器均支持)中统一完成,并暴露一个简洁的名称,该名称背后绑定着一个 DataSource 对象。再举个更简单的例子,这有点类似DNS提供域名到IP地址的解析服务。可以看到,rc1补丁通过对JNDI Lookup增加白名单的方式,限制默认可以访问的主机为本地IP,限制默认支持的协议类型为 java 、 ldapldaps ,限制LDAP协议默认可以使用的Java类型为少数基础类型,从而大大减少了默认的攻击面。
JNDI访问LDAP
03-29
NULL 博文链接:https://zzqrj.iteye.com/blog/1279219
JNDILDAP
diansuo8105的博客
03-23 404
对于众多接口服务、协议、互联网名称,总会遇到感到熟悉,但是时间一长就会忘记,所以还是要自己整理一下,加强记忆,当然最好的方式还是动手实践。 JNDI : 全称:JAVA NAMING AND Directory interface 解释:java 命名目录访问接口:java命名服务目录服务而提供的统一API。 理解:通过命名来访问需要的资源,类似DNS服务,可通过 key-...
JNDI 注入:从零基础到精通,收藏这篇就够了!
最新发布
bigbangbangbang1的博客
07-04 1045
在 Oracle JDK 11.0.1、8u191、7u201、6u211 之后,属性的默认值也被调整为 false,还被分配了一个漏洞编号 CVE-2018-3149。根据的值是否为 true 来进行判断,它的值默认为 false。jdk8u191 之后的版本通过添加trustURLCodebase 的值是否为 true这一判断语句,让我们无法加载 codebase。
JNDILDAP(1)
懒散狂徒的专栏
07-31 2363
 6.1  什么是JNDI在一个企业中,命名服务为读者的应用程序在网络上定位对象提供了一种方法。一个命名服务将对象名称联系在了一起,并且可以通过它们指定的名称找到相应的对象。JNDI是Java命名目录接口,是一个为Java应用程序提供命名服务的应用程序编程接口(API)。它为开发人员提供了查找访问各种命名目录服务的通用、统一的接口,类似于JDBC都是构建在抽象层上。要使用JND
LdapJNDI
niu870781892的专栏
06-07 3382
Ldap基础知识 应用服务器网络协议网络应用数据结构企业应用  什么是JNDI 在一个企业中,命名服务为读者的应用程序在网络上定位对象提供了一种方法。一个命名服务将对象名称联系在了一起,并且可以通过它们指定的名称找到相应的对象。 JNDI是Java命名目录接口,是一个为Java应用程序提供命名服务的应用程序编程接口(API)。它为开发人员提供了查找访问各种命名目录服务的
JNDI & LDAP
观千剑而后识器,操千曲而后晓声。
11-28 2117
JNDI(Java Naming and Directory Interface,Java命名目录接口)是为了Java程序访问命名服务目录服务而提供的统一API。         命名服务,说白了就是提供一个名称键值对的管理,即Key-Value对,Key代表一个资源的名称,Value代表资源的真实地址,命名服务允许大家通过唯一的名称找到对应的对象或资源。这样程序只需要知道某种资源的名称
JNDI&RMI&LDAP介绍+log4j分析
enhengzZ的博客
02-16 1795
JNDI JNDI是java Naming and Directory Interfac即java命名与目录接口 Naming是命名服务,Director指目录服务。 通过调用JNDI的API应用程序可以定位资源其他程序对象。JNDI是Java EE的重要部分,,JNDI可访问的现有的目录及服务有:JDBC、LDAP、RMI、DNS、NIS、CORBA。 命名服务 对资源命名方便下次调用,Naming的资源要唯一,每一个资源绑定一个名字 目录服务 顾名思义,计算机的文件系统很像,具体来说,dns就是一
com.sun.jndi.ldap.jar
01-08
JNDI是一个接口,提供了一种标准的方式来访问命名目录服务,而LDAP则是一种网络协议,常用于存储查询用户账户、组信息、配置数据等结构化信息。 JNDI的主要作用是将Java应用程序与各种不同的命名目录服务连接...
虚拟ldap服务器,什么是LDAPLDAP服务器是什么?
weixin_28989357的博客
08-13 856
从上述定义不难看出LDAP是一个目录,那么该目录是如何出现,有什么用呢?在当今的信息世界,网络为人们提供了丰富的资源。随着网络资源的日益丰富,迫切需要一种能有效管理资源信息并利于检索查询的服务技术。目录服务技术随之产生。1.LDAP目录服务可以有效地解决众多网络服务的用户账户问题。2.LDAP目录服务规定了统一的身份信息数据库、身份认证机制接口,实现了资源信息的统一管理,保证了数据的一致性完...
基于JavaJNDILDAP Demo
05-24
基于Java JNDI 操纵LDAP的基础实现,包括LDAP连接相关生命周期,认证的两种策略demo,条目的操作,schema的基础操作包括(attributeDefinition\objectDefinition\)但未包含相关syntaxDefinition的操纵. 没有资源分的朋友可给我发邮件ybygjy#gmail.com
LDAP认证用户名密码(JNDI)
11-28
亲测可以使用的,LDAP认证用户名密码,使用JNDI方式认证
LDAPJNDI关系
weixin_34336526的博客
09-07 308
为什么80%的码农都做不了架构师?>>> ...
JNDILDAP
cjのice_bear
04-10 1416
读使用JNDI访问Domino目录之后 创建一个JNDI可用连接的过程 创建一个HashTable,存入LDAP工厂类(Context.INITIAL_CONTEXT_FACTORY)、服务器地址(Context.PROVIDER_URL)、(如果需要验证的话)验证方式(Context.SECURITY_AUTHENTICATION)、用户账号(Context.SECURITY_PRINCEPAL
J2EE总结:Java命名与目录接口JNDI
萧逸闲侃
01-02 1860
JNDI 是什么 JNDI是 Java 命名与目录接口(Java Naming and Directory Interface),在J2EE规范中是重要的规范之一,不少专家认为,没有透彻理解JNDI的意义作用,就没有真正掌握J2EE特别是EJB的知识。 那么,JNDI到底起什么作用? 要了解JNDI的作用,我们可以从“如果不用JNDI我们怎样做?用了JNDI后我们又将怎样做?”
JNDILDAP
weixin_34419321的博客
10-22 135
2019独角兽企业重金招聘Python工程师标准>>> ...
JNDILDAP学习笔记
iteye_15148的博客
04-06 217
JNDI(Java Naming and Directory Interface,Java命名目录接口)是为了Java程序访问命名服务目录服务而提供的统一API。 命名服务,说白了就是提供一个名称键值对的管理,即Key-Value对,Key代表一个资源的名称,Value代表资源的真实地址,命名服务允许大家通过唯一的名称找到对应的对象或资源。这样程序只需要知...
JNDI注入-ldap绕过
07-30 678
传入var4参数,var4在下图中可以看到是在LDAP中查到的一些属性。下面if语句就是判断,拿到的是什么类型,选择相应的方法去decode。我jdk版本是8u141,可以看到这里也是做了trustURLCodebase的系统限制,不能远程加载类。注意这里又跳到DirectoryManager里面去了,RMI一样攻击点是不在JNDI的文件中的。我弹计算器代码是写在静态代码块儿中的所以在初始化的时候就弹了计算器。这里面调用到了1中的两个方法,也是没有攻击点的。写在构造函数中的会在下面实例化的时候弹计算器。
JNDI注入攻击工具实战:log4j2漏洞利用
资源摘要信息: "JNDI-Injection-Exploit是一个针对Java应用程序中广泛使用的日志记录框架log4j2中的一个特定漏洞的利用工具。该漏洞允许攻击者通过Java命名目录接口(JNDI)远程加载恶意类文件,进而执行任意代码...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Java Punk

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值