记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

由struts2重大安全漏洞想到的

2013-07-23 11:15
struts2重大安全漏洞出在了ONGL表达式上面,通过在URL中拼接java代码的方式完成攻击。
光从这个漏洞的表现上看,struts2实现了一个动态拼接java代码然后动态编译这段代码片段最终执行了它。
说明了表达式引擎将他认为是代码片断的一部分。
悲剧就此产生!

由此我得出一个结论,任何在运行时拼接代码动态编译执行的功能都有被人注入恶意代码的可能性!

SQL注入就是很好的一个例子,说白了这次struts2的问题和SQL注入本质是一样的。
都是通过执行了拼接进去的恶意代码到达破坏目的的!
所以我们不妨盘点一下有哪些工具包或者框架是有运行时动态拼接动态执行功能的,他们都有可能被挖出高危漏洞的

知识来源: www.2cto.com/Article/201307/230077.html

阅读:70364 | 评论:0 | 标签:漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“由struts2重大安全漏洞想到的”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云