現在的開發過程中我們會發現越來越多的第三方插件被使用,這樣大大的方便了我們的開發。
但是你知道你使用的這些插件安全麼?相信很多開發還不知道自己使用的插件本身就是有漏洞的,那你自己寫的代碼再安全,你這個網站其實也是有漏洞的。
常見的框架比如:struts2、spring、jquery、lo4j等
這裡不僅有後端框架也有前端框架。在這裡我以struts2為例,不同版本的struts2存在不同的反序列化漏洞。常見以.do、.action結尾的網站基本上都使用了struts2框架。
這個網站
通過抓包,抓取“查看”裡面的數據包,發現裡面以.action結尾,基本斷定存在使用struts2
將該鏈接放入struts2專查工具可看(需要該工具的私信我)
我們通過s2-016即可查看當前用戶:
在命令行這裡你就可以輸輸入任意的cmd命令了。
所以我們再使用任何第三方插件時,一定要去其官網上查看,所使用的版本是否存在漏洞,如果已知存在漏洞了就千萬不能再使用了,否則你寫出來的代碼一定是存在漏洞的。
分享到:
閱讀更多 黑客技術乾貨分享 的文章
