学习一下spring-cloud-function中官方修复的一个问题

叶常落

已于 2022-03-27 10:24:48 修改

阅读量502

点赞数

分类专栏： java 文章标签： spring

于 2022-03-27 10:03:12 首次发布

本文链接：https://blog.csdn.net/lineuman/article/details/123768184

版权

java 专栏收录该内容

16 篇文章 0 订阅

订阅专栏

其实不难理解，为什么这么简单的漏洞为什么没有人更早的发现，因为大部分的项目的核心贡献者就是两三个人，剩下的人可能只是使用者，这里面一部分人应该是不会详细的看源码的，who cares。
在这里插入图片描述

我接触的信息流，注意不是时间线，这里是我的主观上的时间线，而非客观时间线。
我在weibo上看到有人复现这个问题，没有在意。
在这里插入图片描述

看到公众号里面的推送，好像是个远程执行命令，好像是有点意思。

再搜索到官方的修复，我大概了解到payload。
failWithHeaderProvidedExpressionAccessingRuntime
根据下面的代码解析出padload。
在这里插入图片描述

FunctionProperties.PREFIX
public final static String PREFIX = “spring.cloud.function”;

在这里插入图片描述
setHeadler里面的值就是真正的payload
spring.cloud.function.routing-expression
T(java.lang.Runtime).getRuntime().exec(“open -a calculator.app”)

https://app.creately.com/ really cool!!!
在这里插入图片描述

curl: (60) SSL certificate problem: self signed certificate in certificate chain
More details here: https://curl.se/docs/sslcerts.html

curl failed to verify the legitimacy of the server and therefore could not
establish a secure connection to it. To learn more about this situation and
how to fix it, please visit the web page mentioned above.

叶常落

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
学习一下spring-cloud-function中官方修复的一个问题

我接触的信息流，注意不是时间线，或者可以说是我的主管时间线，而非客观时间线。看到有人复现问题，没有在意。看到公众号里面的推送，好像是有点意思。再搜索到官方的修复，好像懂了。failWithHeaderProvidedExpressionAccessingRuntime根据下面的代码解析出padload。FunctionProperties.PREFIXpublic final static String PREFIX = “spring.cloud.function”;setHea
复制链接

扫一扫