首页 > TAG信息列表 > ongl

struts2的ognl表达式注入漏洞

原理就是对用户的参数没有进行过滤,导致恶意参数直接传入到ognl的方法中命令执行 ognl不仅可以执行简单计算(首先生成一个ongl上下文,context) ongl还可以对类和对象进行操作。 通过context来put的对象都会放入value属性中,穿进去的字符串就是该属性中的key,通过#key的形式来指定对象