Java特色-表达式注入漏洞从入门到放弃
前言(2020/05/04更新)看 Java 相关的漏洞有一段时间了,觉得 Java 特色的很多漏洞和知识点都相当有趣,比如反序列化、JNDI 注入、JRMP 等等,最近翻文章的时候看到了 Spring-data-commons(CVE-2018-1273) 这个漏洞,看到了 Spring 框架特色的 Spel 表达式注入,想起来以前写了一半差一步的 Nexus Repository Manager 3 CVE-2019-7238(Jexl表达式) ,还想到了以前做过的 ph 牛的 code-breaking ,以及 nuxeo rce ,正好写一起总结一番。...