本文回顾了2020年的研究,重点讨论了服务端模板注入(SSTI)和反序列化漏洞。分析了SSTI漏洞在模板引擎中的应用,以及CommonsCollections的反序列化漏洞的不同利用方式。同时探讨了Fastjson和Shiro的反序列化漏洞,强调了恶意Payload的生成与利用。
本文讨论了Java中的服务端模板注入(SSTI)漏洞,特别是Apache Solr的Velocity模板引擎。SSTI漏洞通常由于代码不规范或对用户输入缺乏信任而产生。文章分析了漏洞成因、POC构造及利用方式,并强调了未设置访问鉴权的配置API风险。建议深入学习相关知识以增强安全意识。
完成下面两步后,将自动完成登录并继续当前操作。