SpEL injection

Intro

В процессе работы и исследований различных сервисов мы всё чаще можем встретить Spring Framework. И логичным шагом является знакомство с его структурой и возможными уязвимостями.

Самыми интересными для любого пентестера являются уязвимости, которые приводят к исполнению кода.

Одним из способов получить RCE в Spring является инъекция SpEL-выражений.

В этой статье мы попробуем разобраться, что такое SpEL, где его можно найти, какие есть особенности использования и как же находить такие инъекции.

Читать дальше →

Источник: Хабрахабр

Перейти на сайт

Похожие новости

• Как был взломан “самый надежный” бот в мессенджере MAX? Эксплойт бота Отложка
• Что не так с ИБ в опенсорсе и при чем тут ИИ (опять)
• Самый опасный человек в комнате улыбается
• Blackline: Как говорить с аудиторией детскому бренду?
• Spark_news: Главными страхами работающих россиян стали увольнение, недооцененность и невостребованность
• [Перевод] Pwnd Blaster: беспроводной взлом компьютера через саундбар
• Я устал от бесконечных списков чатов и написал свой приватный мессенджер на гексагональных сотах (Kotlin + Go)
• Race Condition в веб-приложениях: три типа уязвимости и как их находить
• Мониторинг, IDS и системный анализ. YARA
• На ПМЭФ обсудили личный бренд и новую экономику внимания