Help us learn about your current experience with the documentation. Take the survey.
表达式语言注入
描述
可以在目标应用服务器上执行任意的表达式语言(EL)语句。EL注入是一种严重的安全漏洞,可能导致完全系统入侵。当攻击者控制的数据被用来构建EL语句而没有中和特殊字符时,就可能发生EL注入。这些特殊字符可能会在解释器执行EL语句之前修改其原始意图。
修复建议
在构建表达式语言语句时,用户控制的数据应该始终中和其中的特殊元素。请查阅所用EL解释器的文档,了解如何正确中和用户控制的数据。
详情
| ID | 已聚合 | CWE | 类型 | 风险 |
|---|---|---|---|---|
| 917.1 | false | 917 | 活跃 | 高 |