Kar*_* MG 7 java apache jsp tomcat struts2
我有一个Apache Web服务器2.0和Tomcat服务器7.0.
Web服务器将请求定向到Tomcat服务器.
Web和tomcat应用程序服务器都可以直接访问.
当表达式语言$ {9-4}作为请求参数发送到Web服务器URL时,表达式将被评估并返回结果5.
如果向Tomcat服务器发送相同的请求,则结果为$ {9-4}而不进行评估.
例如:
网络服务器
请求:http:// apache-web-server:port/context?test = $ {9-4}
在jsp:5中打印测试时的响应
Tomcat服务器
请求:http:// tomcat-server:port/context?test = $ {9-4}
在jsp中打印测试时的响应:$ {9-4}
Apache Web服务器是否在此评估表达式语言?
如何阻止服务器评估表达式语言?
我也在Tomcat应用程序服务器中使用Struts 2.
如果Apache Web服务器具有评估表达式的能力,那么如何在Apache Web服务器中关闭OGNL表达式评估?
看起来 JSP 表达式语言正在解析您的参数。它实际上是您的应用程序具有的远程代码执行漏洞。
看这篇文章: https://www.owasp.org/index.php/Expression_Language_Injection http://danamodio.com/appsec/research/spring-remote-code-with-expression-language-injection/
| 归档时间: |
|
| 查看次数: |
214 次 |
| 最近记录: |