随笔分类 - Vulhub漏洞学习 / spring
摘要:Spring Data Rest 远程命令执行漏洞(CVE-2017-8046) Spring Data REST是一个构建在Spring Data之上,为了帮助开发者更加容易地开发REST风格的Web服务。在REST API的Patch方法中,path的值被传入setValue,导致执行了SpEL
阅读全文
摘要:Spring WebFlow 远程代码执行漏洞(CVE-2017-4971) Spring WebFlow 是一个适用于开发基于流程的应用程序的框架(如购物逻辑),可以将流程的定义和实现流程行为的类和视图分离开来。在其 2.4.x 版本中,如果我们控制了数据绑定时的field,将导致一个SpEL表达
阅读全文
摘要:Spring Security OAuth2 远程命令执行漏洞(CVE-2016-4977) Spring Security OAuth是为Spring框架提供安全认证支持的一个模块。在其使用whitelabel views来处理错误时,由于使用了Springs Expression Languag
阅读全文
摘要:H2 Database Console未授权访问 H2 database是一款java内存数据库,多用于单元测试。H2 database自带一个web管理页面,在Spring开发中,如果我们设置如下选项,即可允许外部用户访问WEB管理页面,且没有鉴权; spring.h2.console.enabl
阅读全文
