SPEL表达式及注入漏洞,程序员如何自我学习和成长

最新推荐文章于 2024-05-22 14:56:16 发布
最新推荐文章于 2024-05-22 14:56:16 发布
阅读量943 收藏 9
点赞数 28
分类专栏: 2024年程序员学习 文章标签: 学习 mysql java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_61331491/article/details/137415835
版权
本文介绍了SPEL的基础知识,包括类型表达式、类表达式和EvaluationContext接口的使用。同时,讨论了SPEL注入漏洞的原理,并强调了正确处理用户输入以防止此类安全问题的重要性。此外,分享了网络安全学习资源和成长路径。
摘要由CSDN通过智能技术生成
  • Literal expressions(字面量表达式)
  • Boolean and relational operators(布尔和关系运算符)
  • Regular expressions(正则表达式)
  • Class expressions(类表达式)
  • Accessing properties, arrays, lists, maps(访问属性、数组、列表、映射)
  • Method invocation(调用方法)
  • Relational operators(关系运算符)
  • Assignment(赋值运算符)
  • Calling constructors(调用构造函数)
  • Bean references(Bean 引用)
  • Array construction(数组构造)
  • Inline lists(内联列表)
  • Ternary operator(三目运算符)
  • Variables(变量)
  • User defined functions(用户定义的函数)
  • Collection projection(集合投影)
  • Collection selection(集合选择)
  • Templated expressions(模板表达式)
SPEL基础
2.1、类型表达式

在SPEL中,

最低0.47元/天 解锁文章
莫莫Android开发
关注
  • 28
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Cloud Function SpEL表达式注入(CVE-2022-22963)
做自己喜欢的事,并将其发挥到极致!
04-02 1252
文章目录声明前言一、漏洞概述二、影响版本三、本地复现四、漏洞原理五、官方修复文档 声明 本文章仅用于漏洞复现和技术学习,切勿从事非法渗透行为,切记! 前言 在 Spring Cloud Function 版本 3.1.6、3.2.2 和不受支持的旧版本中,当使用路由功能时,用户可以提供特制的 SpEL 作为路由表达式,这可能导致远程代码执行和对本地资源的访问。 一、漏洞概述 Spring Cloud Function 是基于Spring Boot 的函数计算框架(FaaS),当其启用动态路由 funct
Spring Cloud Function Spel表达式注入
weixin_45794666的博客
04-05 6032
Spring Cloud Function Spel表达式注入 漏洞概述 Spring Cloud Function 是基于Spring Boot 的函数计算框架(FaaS),支持基于SpEL的函数式动态路由。在特定配置下,3 <= 版本 <= 3.2.2( commit dc5128b 之前)存在SpEL表达式执行导致的RCE。 环境搭建 在IDEA中选择新建项目,然后选择Spring Initializr,输入随机项目名称,然后选择java版本和jdk版本后点击下一步。 选择Spring
Java代码审计---SpEL表达式注入
最新发布
qq_45317844的博客
05-22 539
Spring 中的表达式语言,用于在运行时评估和处理表达式。它提供了一种灵活的方式来访问和操作对象的属性、方法和其他表达式。SpEL可以用于配置文件、注解、XML 配置等多种场景,用于实现动态的、可配置的行为。它支持常见的表达式操作,如算术运算、逻辑运算、条件判断、集合操作等,并且可以与 Spring 框架的其他功能整合使用。由于SpEL具有代码调用,我们可以通过SpEL注入来执行系统命令,进而导致RCE漏洞
spel表达式注入
RedCode Team
12-02 3989
使用 parseExpression 方法将字符串表达式转换为 Expression 对象;ParserContext 接口用于定义字符串表达式是不是模板,及模板开始与结束字符;
[Java安全]—SPEL表达式注入
Sentiment的博客
05-01 4158
前言 在前几天的网刃杯中,出了一道SPEL注入Java题,在复现后其实对于原理和内部流程还是不够了解,所以现在浅学一下。 配置 https://github.com/LandGrey/SpringBootVulExploit/tree/master/repository/springboot-spel-rce,导入maven依赖 为了后期debug调试简便些,可以修改一下控制器 修改后运行,访问localhost:9091/article?id=${5*5},出现结果25则为配置成功 影响版本 Spr
SPRING CLOUD FUNCTION SPEL表达式注入漏洞测试服务端程序
03-30
用于Spring Cloud Function SPEL表达式注入漏洞测试环境搭建,是编译好的服务端程序,命令号java -jar *.jar运行即可,服务端运行在127.0.0.1:8080端口
Spring组件开发模式支持SPEL表达式
08-26
本文将详细介绍Spring组件开发模式支持SPEL表达式的实现原理和应用场景。 SPEL表达式Spring框架提供的一种表达式语言,允许开发者使用灵活的语法来表达复杂的业务逻辑。SPEL表达式可以用于实现各种业务逻辑,例如...
Spring Cloud Gateway Actuator API SpEL表达式注入命令执行 0day 漏洞复现
12-26
本文将详细探讨一个重要的安全问题——Spring Cloud Gateway Actuator API 的SpEL(Spring Expression Language)表达式注入漏洞(CVE-2022-22947),该漏洞可能导致命令执行,对系统安全构成严重威胁。首先,我们...
Spring spel表达式使用方法示例
08-29
Spring spel表达式使用方法示例 Spring spel表达式是一种功能强大且灵活的...Spel表达式是一种功能强大且灵活的表达式语言,可以用于实现复杂的逻辑操作,但是需要了解Spel表达式的语法和用法,避免难以维护的代码。
Spring实战之Bean定义中的SpEL表达式语言支持操作示例
08-25
Spring Bean定义支持使用SpEL来配置属性和依赖关系,允许开发者通过表达式语言来设置属性值或者调用方法。 ### SpEL表达式语言基础 SpEL是一种表达式语言,可以在运行时构建复杂表达式、存取对象属性、调用方法、...
Java表达式注入SpEL表达式注入
GalaxySpaceX的博客
08-18 1268
Java表达式注入SpEL表达式注入
表达式SpEL方式的属性注入
weixin_30279671的博客
08-21 129
-----------------------siwuxie095 表达式 SpEL 方式的属性注入 表达式 SpEL 方式的属性注入Spring 3.x 版本后提供的方式 1、编写一个普通类 Book.java: ...
SpEL表达式注入Spring JNDI注入
cloudcsdn88的博客
03-30 904
SpEL表达式:(Spring Expression Language),即Spring表达式语言,是比JSP的EL更强大的一种表达式语言。 SpEL有三种用法,一种是在注解@Value中;一种是XML配置;最后一种是在代码块中使用Expression。 1. @Value("#{表达式}") public String arg; 2. <bean id="xxx" class="com.java.XXXXX.xx"> <!-- 同@Value,#{}内是表达式的值,.
Spring 属性注入方式之SPEL表达式
diaonengtan5716的博客
06-04 285
<bean id="categroy" class="com.test.inject.Category" p:cateName="服装"></bean> <bean id="calculate" class="com.test.inject.PriceCalculate"></bean> <bean id="product" cl...
SPEL表达式注入漏洞
weixin_50217210的博客
03-11 2165
SPEL,全称为Spring表达式语言,是一个由 Spring 框架提供的表达式语言。它是一种基于字符串的表达式语言,可以在运行时对对象进行查询和操作。SpEL 支持在XML和注解配置中使用,它可以在Spring框架的各种组件中使用,如Spring MVC 控制器、Spring Security 安全框架、Spring Data 数据访问框架等。它可以方便地访问对象的属性、调用对象的方法、进行数学运算、逻辑运算、正则表达式匹配等操作。
Java代码审计之SpEL表达式注入漏洞分析
道阻且长,行则将至。
12-07 719
表达式注入Java 安全中一类常见的能够注入命令并形成 RCE 的漏洞,而常见的表达式注入方式有 EL 表达式注入SpEL 表达式注入和 OGNL 表达式注入等。本文将通过调试分析 CVE-2022-22963 漏洞来入门学习 SpEL 表达式注入漏洞的原理。
Spring Data MongoDB SpEL表达式注入漏洞(CVE-2022-22980)分析与利用
不忘初心,护天下安全!
06-24 2077
Spring Data for MongoDB是 Spring Data 项目的一部分,该项目旨在为新的数据存储提供熟悉和一致的基于Spring的编程模型,同时保留存储的特定特征和功能。 6月20日,VMware发布安全公告,修复了Spring Data MongoDB中的一个SpEL 表达式注入漏洞(CVE-2022-22980),该漏洞的CVSSv3评分为8.2。 Spring Data MongoDB应用程序在对包含查询参数占位符的SpEL表达式使用@Query或@Aggr
SpringBoot SpEL表达式注入漏洞-分析与复现
06-02
SpringBoot SpEL表达式注入漏洞是一种常见的安全漏洞,攻击者可以利用该漏洞在应用中执行恶意代码,从而导致应用被攻击。下面我将对该漏洞进行分析与复现。 一、漏洞分析 SpringBoot中的SpEL(Spring Expression ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值