Java代码审计之SpEL表达式注入
发布时间:2019-03-17 05:46:29 所属栏目:策划 来源:Lateink
导读:副标题#e# 一、SpEL 表达式注入 Spring Expression Language(简称 SpEL)是一种功能强大的表达式语言、用于在运行时查询和操作对象图;语法上类似于 Unified EL,但提供了更多的特性,特别是方法调用和基本字符串模板函数。SpEL 的诞生是为了给 Spring 社区提
|
然后发现了! 在这里调用了 this.subscriptionRegistry.getSubscriptions(sessionId) 并从中取出 info->sub-> expression。 最关键的是,这里直接调用了 expression.getValue()!这说明如果能控制 SpEL 的表达式,就能直接命令执行! (编辑:泉州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
