Die Technik hinter Log4Shell & Co.
Abstract
Es ist Vorweihnachtszeit, alle freuen sich auf den baldigen Urlaub, Amazon hat vor kurzem einen der größten Ausfälle im AWS hinter sich gebracht und dann erschüttert plötzlich eine Sicherheitslücke in Log4j 2 die loggende Java-Welt (CVE-2021-44228).
Ein paar Tage später sind die Applikationen gepatched, hoffentlich nicht erfolgreich angegriffen worden und die Aufregung und die Lücke sind schnell vergessen.
Aber was steckt eigentlich hinter dieser und ähnlichen Lücken? Wie schleuse ich Bytecode in eine JVM? Was ist Remote Class Loading oder ein Deserialisierungs-Angriff?
Nach an ein paar Grundlagen nehmen wir euch mit in die IDE und demonstrieren verschiedene Angriffe über eine verwundbare Log4j 2 Version.
Also macht euch gefasst auf wenig Theorie und viel Code den man so im Entwickleralltag eigentlich nicht schreiben würde :-)
Speaker
Christian Kumpe
Christian Kumpe studierte Informatik am KIT in Karlsruhe und sammelte bereits während seines Studiums als Freelancer Erfahrung in diversen Java-Projekten. Seit 2011 arbeitet er bei der diva-e in Karlsruhe. Sein Interesse gilt den technischen Details der JVM, Clean Code und dem Einsatz moderner (Web-)Technologien aber auch der Wartbarkeit von langjährigen Softwareprojekten. Seit vielen Jahren ist er als regelmäßiger Sprecher auf Konferenzen rund um das Thema Java und Softwareentwicklung unterwegs.
Christoph Wende
Christoph Wende ist Entwickler und Architekt aus Leidenschaft. Seit 2009 geht er dieser Profession bei diva-e München nach. Sein Schwerpunkt sind Java Individualentwicklungen, vorzugsweise in MACH Architekturen. Neben den Maschinen widmet er seine Aufmerksamkeit, als Scrum Master und Trainer, vor allem dem Menschlichen.