我有一个Apache Web服务器2.0和Tomcat服务器7.0.
Web服务器将请求定向到Tomcat服务器.
Web和tomcat应用程序服务器都可以直接访问.
当表达式语言${9-4}作为请求参数发送到Web服务器URL时,表达式将被评估并返回结果5.
如果向Tomcat服务器发送相同的请求,则结果为${9-4}而不进行评估.
例如:
网络服务器
要求:http://apache-web-server:port/context?test= ${9-4}
在jsp:5中打印测试时的响应
Tomcat服务器
要求:http://tomcat-server:port/context?test= ${9-4}
在jsp中打印测试时的响应:${9-4}
Apache Web服务器是否在此评估表达式语言?
如何阻止服务器评估表达式语言?
我也在Tomcat应用程序服务器中使用Struts 2.
如果Apache Web服务器具有评估表达式的能力,那么如何在Apache Web服务器中关闭OGNL表达式评估?
解决方法
看起来JSP表达式语言正在解析您的参数.它实际上是您的应用程序的远程代码执行漏洞.
看看这篇文章:
https://www.owasp.org/index.php/Expression_Language_Injection
http://danamodio.com/appsec/research/spring-remote-code-with-expression-language-injection/
