java – 在Apache Web Server中评估的表达式语言

前端之家收集整理的这篇文章主要介绍了java – 在Apache Web Server中评估的表达式语言前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我有一个Apache Web服务器2.0和Tomcat服务器7.0.

Web服务器将请求定向到Tomcat服务器.

Web和tomcat应用程序服务器都可以直接访问.

当表达式语言${9-4}作为请求参数发送到Web服务器URL时,表达式将被评估并返回结果5.

如果向Tomcat服务器发送相同的请求,则结果为${9-4}而不进行评估.

例如:

网络服务器

要求:http://apache-web-server:port/context?test= ${9-4}

在jsp:5中打印测试时的响应

Tomcat服务器

要求:http://tomcat-server:port/context?test= ${9-4}

在jsp中打印测试时的响应:${9-4}

Apache Web服务器是否在此评估表达式语言?

如何阻止服务器评估表达式语言?

我也在Tomcat应用程序服务器中使用Struts 2.

如果Apache Web服务器具有评估表达式的能力,那么如何在Apache Web服务器中关闭OGNL表达式评估?

解决方法

看起来JSP表达式语言正在解析您的参数.它实际上是您的应用程序的远程代码执行漏洞.

看看这篇文章
https://www.owasp.org/index.php/Expression_Language_Injection
http://danamodio.com/appsec/research/spring-remote-code-with-expression-language-injection/

猜你在找的Java相关文章