|
2、问题2:模板注入问题 http://ip/x5/test/test/process/queryInventoryForBuy/mainActivity.w?$log=1&bsessionid=0CB13006F5D20E6CC3803EF9507CF47F&language=zh_CN&proicess=/test/test/process/queryInventoryForBuy/queryInventoryForBuyProcess&activity=mainActivity 问题说明: 模板注入是指攻击者能够使用本机模板语法将恶意有效负载注入到模板中,然后在服务器端执行该模板。 以下只示例一处,由于没办法每个业务都测试该漏洞,修复时请全局修复! Payload:${(875220066+896083557)?c} 1. 攻击者可以潜在地实现远程代码执行,完全控制后端服务器,并使用它对内部基础结构执行其他攻击。 2. 即使在无法完全执行远程代码的情况下,攻击者通常仍可以使用服务器端模板注入作为许多其他攻击的基础,从而有可能获得对服务器上敏感数据和任意文件的读取权限 对于这个问题,是否有什么解决办法?
| 
IP卡
狗仔卡
发表于 2020-7-9 01:41:05
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
发表于 2020-7-9 09:15:01
