Fel表达式注入

于 2024-08-06 16:04:44 发布
阅读量132 收藏 3
点赞数 1
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_85480529/article/details/140958492
版权

Fel表达式注入是一种针对Fel(Fast Expression Language)表达式语言的注入攻击。Fel是一种轻量级的表达式语言,常用于Java应用中的动态表达式求值。如果在应用中没有对Fel表达式进行适当的输入验证和安全处理,就可能导致Fel表达式注入攻击。

原理

Fel表达式注入的原理类似于SQL注入,通过在输入中插入恶意表达式来执行任意代码。例如,如果应用程序直接将用户输入作为Fel表达式的一部分进行求值,那么攻击者可以构造特定的输入来执行任意代码。

示例

假设有一个应用程序接受用户输入并将其作为Fel表达式进行求值:

String userInput = "1 + 1"; // 用户输入
FelEngine fel = new FelEngineImpl();
Object result = fel.eval(userInput); // 直接求值用户输入的表达式

如果用户输入的是1 + 1,那么结果是2。但如果用户输入的是Runtime.getRuntime().exec("calc"),那么就会执行计算器程序,这是一个典型的命令注入。

防御措施

  1. 输入验证和清理:严格验证和清理用户输入,确保输入中不包含恶意表达式。
  2. 使用白名单:限制可用的Fel表达式,只允许特定的安全表达式进行求值。
  3. 安全库和工具:使用提供安全机制的表达式求值库,避免直接求值用户输入的表达式。

总结

Fel表达式注入是一种严重的安全风险,如果不加以防范,可能导致代码执行和系统被攻陷。开发人员应当提高警惕,采取适当的防御措施以确保应用的安全性。

2401_85480529
关注
java fel api_Java表达式计算-Fel
weixin_30013029的博客
02-13 390
Fel是支持表达式计算的一个库(java)。Fel支持解释执行和编译执行,可以根据性能要求选择执行方式。下面给出示例和性能测试数据:package datagene;import java.util.Random;import com.greenpineyu.fel.Expression;import com.greenpineyu.fel.FelEngine;import com.greenpi...
Fel Javael表达式引擎
10-17
Fel轻量级的高效的表达式计算引擎。 Fel在源自于企业项目,设计目标是为了不断变化的功能需求和性能需求.文档中有个别错误,但不影响阅读
高速 Fel表达式引擎
04-23
高速 Fel表达式引擎 。类似ognl 速度很快。 性能很高
Fel是轻量级的高效的表达式计算引擎
01-10
Fel在源自于企业项目,设计目标是为了满足不断变化的功能需求和性能需求。 Fel是开放的,引擎执行中的多个模块都可以扩展或替换。Fel的执行主要是通过函数实现,运算符(+、-等都是Fel函数),所有这些函数都是可以替换的,扩展函数也非常简单。 Fel有双引擎,同时支持解释执行和编译执行。可以根据性能要求选择执行方式。编译执行就是将表达式编译成字节码(生成java代码和编译模块都是可以扩展和替换的) Fel基于Java1.5开发,适用于Java1.5及以上版本。
Fel表达式计算引擎
chen_jia_hao的博客
10-27 5764
一、Fel表达式计算引擎介绍 Fel在源自于企业项目,设计目标是为了满足不断变化的功能需求和性能需求。 Fel是开放的,引擎执行中的多个模块都可以扩展或替换。Fel的执行主要是通过函数实现,运算符(+、-等都是Fel函数),所有这些函数都是可以替换的,扩展函数也非常简单。 Fel有双引擎,同时支持解释执行和编译执行。可以根据性能要求选择执行方式。编译执行就是将表达式编译成字节码(生成java代...
Fel实现自定义计算引擎,平均计算速度每秒10w
AnNanDu的博客
06-03 5695
Fel的介绍和简单使用以及0.9版本的包在之前的博客写过了,有需要的朋友移步:fel的简单使用及介绍 1. 基础的应用 下面的代码是引用原生类进行执行的,支持通用数学函数即加减乘除 package com.example.demo.util; import com.greenpineyu.fel.FelEngine; import com.greenpineyu.fel.FelEngineImpl; /** * @author Anzepeng * @title: FelDemo * @p
FelEngine Java轻量级计算引擎依赖jar包
09-26
FelEngine Java轻量级计算引擎依赖jar包 上传资源属于0.8版本 稳定可用 csdn上动辄50和15积分 比较坑 本人简单上传 解压zip即可得到jar包
fel计算引擎(表达式计算数学公式)--实例sigma求和∑
sidihuo的专栏
04-11 4143
fel计算引擎--实例sigma求和∑ 从而避免每一个公式都手动写方法计算,只要输入数学公式就可计算结果; 示例计算 1+2*(SUM('x_*3+1','1','5')+1) fel用的0.9版本,支持大数高精度; 约定变量以下划线结尾 public class SumFunction extends CommonFunction { private ...
Fel表达式引擎
06-12
1. **安全**: Fel引擎应防止恶意表达式注入,确保数据安全。可以通过限制允许的运算符和函数,或者使用白名单机制来避免潜在风险。 2. **性能**:通过缓存编译后的表达式,避免重复解析和编译;同时,合理设计函数...
表达式引擎fel-0.9版本
12-29
Fel表达式计算引擎0.9版本
fel计算引擎0.9官方版本.zip
05-20
fel计算引擎0.9官方版本,0.9的版本多了很多方法,支持了大数高精度,maven没有找到直接pom依赖,下载到本地再依赖本地jar包来进行操作
Fel表达式引擎.pdf
10-14
"Fel表达式引擎" Fel表达式引擎是一种高性能的表达式引擎,支持编译执行和解释执行两种模式。它可以处理海量数据,执行速度基本与Java字节码执行速度一样快。 1. FelEngine的使用 FelEngineFel表达式引擎的核心...
JAVA FEL表达式的使用
止殇之战的专栏
02-09 1855
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 前言 一、FEL是什么? 二、使用步骤 1.引入库 2.使用示例 数据格式 2.自定义函数 总结 前言 背景:用户行为事件,数据格式是Json的,需要解析数据,判断用户是否满足指定的表达式 一、FEL是什么? 是谷歌开发的,轻量级表达式计算引擎 参考:http://code.google.com/p/fast-el/wiki/Performance 二、使用...
java fel_Fel实现探秘,兼谈EL
weixin_28679635的博客
02-12 890
Fel是最近javaeye比较火的关键词,这是由网友lotusyu开发的一个高性能的EL,从作者给出的数据来看,性能非常优异,跟前段时间温少开源的Simple EL有的一拼。首先要说,这是个好现象,国内的开源项目越来越多,可以看出开发者的水平是越来越高了,比如我最近还看到有人开源的类似kestel的轻量级MQ——fqueue也非常不错,有兴趣可以看下我的分析《fqueue初步分析》。进入正文,本文...
java fel_Java表达式引擎fel/groovy/expression4j/java脚本引擎的性能对比【原创】
weixin_28982089的博客
02-12 1307
又是性能对比,最近跟性能较上劲了。产品中需要用到数学表达式,表达式不复杂,但是对性能要求比较高。选用了一些常用的表达式引擎计算方案,包含:java脚本引擎(javax/script)、groovy脚本引擎、Expression4j、Fel表达式引擎。其中java脚本引擎使用了解释执行和编译执行两种方式、groovy脚本只采用了编译执行(解释执行太慢)、Fel采用了静态参数和动态参数两种方式。以下为...
Java表达式计算-Fel
liyuming0000的专栏
06-06 5836
Fel是支持表达式计算的一个库(java)。 Fel支持解释执行和编译执行,可以根据性能要求选择执行方式。 下面给出示例和性能测试数据: package datagene; import java.util.Random; import com.greenpineyu.fel.Expression; import com.greenpineyu.fel.FelEngine; import
java fel表达式
ChangLu0的博客
11-23 1771
long flag = System.currentTimeMillis(); FelEngine felEngine = new FelEngineImpl(); FelContext context = felEngine.getContext(); context.set("老大",1); context.set("老二",4); context.set("老三",3); context.s
fel表达式版本介绍
最新发布
12-30
Fel(Fast Extension Language)是由阿里巴巴集团开发的一种面向业务规则引擎的表达式语言。Fel是一种轻量级的表达式语言,具备快速、简洁、灵活、易用的特点。 Fel表达式版本可以分为Fel表达式版本1.0和Fel表达式...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值