现在的开发过程中我们会发现越来越多的第三方插件被使用,这样大大的方便了我们的开发。
但是你知道你使用的这些插件安全么?相信很多开发还不知道自己使用的插件本身就是有漏洞的,那你自己写的代码再安全,你这个网站其实也是有漏洞的。
常见的框架比如:struts2、spring、jquery、lo4j等
这里不仅有后端框架也有前端框架。在这里我以struts2为例,不同版本的struts2存在不同的反序列化漏洞。常见以.do、.action结尾的网站基本上都使用了struts2框架。
这个网站
通过抓包,抓取“查看”里面的数据包,发现里面以.action结尾,基本断定存在使用struts2
将该链接放入struts2专查工具可看(需要该工具的私信我)
我们通过s2-016即可查看当前用户:
在命令行这里你就可以输输入任意的cmd命令了。
所以我们再使用任何第三方插件时,一定要去其官网上查看,所使用的版本是否存在漏洞,如果已知存在漏洞了就千万不能再使用了,否则你写出来的代码一定是存在漏洞的。
分享到:
閱讀更多 黑客技術乾貨分享 的文章
