Core Java & JVM-SprachenCore Java & JVM-Sprachen

Was steckt hinter Log4Shell & Co.

Java Deserization Exploits auf den Zahn gefühlt
Deserization
Exploit
Java
Log4Shell
Dieser Vortrag fällt leider aus!

Abstract


Ausgefallen | 2022

Es ist Vorweihnachtszeit, alle freuen sich auf den baldigen Urlaub, Amazon hat vor kurzem einen der größten Ausfälle im AWS hinter sich gebracht und dann erschüttert plötzlich eine Sicherheitslücke in Log4j 2 die loggende Java-Welt (CVE-2021-44228). Ein paar Tage später sind die Applikationen gepatched, hoffentlich nicht erfolgreich angegriffen worden und die Aufregung und die Lücke sind schnell vergessen. Aber was steckt eigentlich hinter dieser und ähnlichen Lücken? Wie schleuse ich Bytecode in eine JVM? Was ist Remote Class Loading oder ein Deserialisierungs-Angriff? Nach an ein paar Grundlagen nehmen wir euch mit in die IDE und demonstrieren verschiedene Angriffe über eine verwundbare Log4j 2 Version. Also macht euch gefasst auf wenig Theorie und viel Code den man so im Entwickleralltag eigentlich nicht schreiben würde.

Präsentation
Non-Sponsored TalkFortgeschritteneDeutsch
Christian Kumpe

Christian Kumpe

www.diva-e.com

Christian Kumpe studierte Informatik am KIT in Karlsruhe und sammelte bereits während seines Studiums als Freelancer Erfahrung in diversen Java-Projekten. Seit 2011 arbeitet er bei der diva-e in Karlsruhe. Sein Interesse gilt den technischen Details der JVM, Clean Code und dem Einsatz moderner (Web-)Technologien aber auch der Wartbarkeit von langjährigen Softwareprojekten. Seit vielen Jahren ist er als regelmäßiger Sprecher auf Konferenzen rund um das Thema Java und Softwareentwicklung unterwegs.

Christoph Wende

Christoph Wende

Christoph Wende ist Entwickler und Architekt aus Leidenschaft.
Seit 2009 geht er dieser Profession bei diva-e München nach. Sein Schwerpunkt sind
Java Individualentwicklungen, vorzugsweise in MACH Architekturen. Neben den Maschinen widmet er seine Aufmerksamkeit, als Scrum Master und Trainer, vor allem dem Menschlichen.