- JNDI(Java Naming and Directory Interface)
- 用途
- 命名和目录服务
- 查找和检索各种资源(如数据库、EJB、远程对象)
- 特点
- 与底层目录服务提供商无关的统一接口
- 使用相同的代码与不同类型的目录服务交互
- 用途
- JNDI注入
- 定义
- 一种安全漏洞
- 通过操纵JNDI查找机制执行恶意代码
- 利用方式
- 注入恶意的查找路径或对象
- 未授权的远程代码执行
- 常见场景
- 不安全的反序列化
- 不正确的输入验证
- 定义
- 恶意对象的放置
- 目的
- 利用JNDI查找机制的特性
- 动态加载恶意对象到受害者系统中
- 直接传递的限制
- 数据格式
- 参数验证
- 防火墙等安全措施
- 通过JNDI注入的优势
- 绕过限制
- 攻击更具隐蔽性和灵活性
- 远程代码执行的机会
- 目的
JNDI注入
最新推荐文章于 2024-09-13 17:30:19 发布