昨晚堪称安全圈年会，整个微信朋友圈都在关注一件事，那就是 Apache Log4j2 的远程代码执行漏洞，漏洞原理已经有大佬昨晚分析，简单总结一下，在打印日志时，如果发现日志内容中包含关键词 ${，那么这个里面包含的内容会当做变量来进行替换，导致攻击者可以任意执行命令。

具体的 payload 已经公开，大量网站存在这个问题，比如百度：

比如 ICloud：

比如 3389（这个纯属开玩笑，哈哈）：

比如写在纸上触发漏洞（这个就更离谱）：

当然，遇到这种漏洞，最开心的就是白帽子了，又到了刷漏洞的时候，批量刷洞，批量交洞，开心的不行，而晚上睡不着觉的不仅仅是开心的白帽子，还有忧心忡忡的甲方安全应急人员，研究漏洞，加规则，提修复方案，根据紧急程度，催促开发人员修漏洞，又是一场世纪大战，安全与开发之间的爱恨情仇。

对于安全人员来说，过去的漏洞将不再被重视，而新来的一定是香饽饽：

而白帽子正准备大张旗鼓的刷漏洞提交之时，甲方 SRC 老板已经做好了准备不收漏洞，毕竟这个漏洞大家都已知，为了减少不必要的支出，需要白帽子给一定的时间来进行修复，毕竟大家都有预算，上面的老板看着呢，比如京东大哥的紧急通告：

所以说，安全还是得靠漏洞来体现价值，没有开发人员写漏洞，安全人员也不会时不时过个年不是吗？本文也就让大家缓解一下紧张气氛，看完之后，该推动修漏洞的修漏洞，该加 waf 规则的加规则，该应急的应急，接下来的日子，注定不那么平凡，所有安全从业者们，大家一起加油，将漏洞消灭干净。

最后不得不提一下，昨晚最忙的可能不是安全从业者，而是 dnslog，哈哈！