https://www.gravatar.com/avatar/c4ca4238a0b923820dcc509a6f75849b?s=240&d=mp

Da22le的博客

Java代码审计之XXE注入总结

前言 对审计XXE注入总结的一些知识点,主要是方便自己看 解析XML的函数 审计时根据关键字全局搜索,在看是否禁用外部实现引用,最后在向上回溯是否

CVE-2022-41852 Apache Commons JXPath RCE

前言 最近在推特上看到有详情爆出来,就来分析学习一下 环境 引入jxpath依赖即可 1 2 3 4 5 <dependency> <groupId>commons-jxpath</groupId> <artifactId>commons-jxpath</artifactId> <version>1.3</version> </dependency> 漏洞分析 先来弹个计算器,利用的是Class