Tomcat中表达式动态执行Java代码调试
最近在看表达式注入的东西,漏洞根源归根结底,应该是Java表达式功能强大,支持执行我们注入的Java代码,这里觉得有必要代码调试下。因为表达式解析引擎有很多,我这里就用Tomcat重点了,它里面包含了jdk下的 javax.el
最近在看表达式注入的东西,漏洞根源归根结底,应该是Java表达式功能强大,支持执行我们注入的Java代码,这里觉得有必要代码调试下。因为表达式解析引擎有很多,我这里就用Tomcat重点了,它里面包含了jdk下的 javax.el