目录
(二)案例2:Struts2-016远程代码执行漏洞分析-黑盒流程
1、查看web.xml可知,所有的.action请求都经过struts2过滤器
3.payload加上路由关键字进行OGNL表达式接受处理执行
(三)案例3:SpringBoot-SpELl表达式注入漏洞分析-白盒思路
0x01 SpringBoot SpEL表达式注入漏洞-分析与复现:
(一)过滤器及拦截器相关区别解释
过滤器&拦截器区别:
- Filter是基于函数回调的,而Interceptor这是基于Java反射的。
- Filter依赖于Servlet容器,而Interceptor不依赖于Servlet容器。
- Filter对几乎所有的请求起作用,而Interceptor只能对action请求起作用。
- Interceptor可以访问Action的上下文,值栈里的对象,而Filter不能。
- 最重要的要记住他们的执行顺序:先Filter后Interceptor,另外在不同框架中有的是自带,有的是需要自写,具体可以查看开发资料。