探讨如何利用反射修复Log4j2的方法

最近一天被log4j2刷屏了，多说一句，这个漏洞其实非常考验安全人员的应急能力，代码能力和社交能力。漏洞都三天了，竟然还有人在要exp，现在做安全的人都这么水了吗？我们向开发者给出安全建议的时候，一定要结合业务方具体需求，不要给出不切合实际的修复方案。即不能宕机，又要保证安全性。还有很多写规则的乙方waf同学，漏洞自己都没研究明白，就要写规则，结果误报一大堆。修复方法1，升级这种方案是最简单的，但是需要关闭应用，重新打包，提测。但是这种修复方案是最彻底的。当然，如果因为某些原因不方便关闭应用，那么下面几种方法可能最适合业务方。修复方法2，修改配置文件这个修复方法也需要暂时关闭应用，配置方法 log4j2.formatMsgNoLookups=T ………………………………