75ACOL
75ACOL
你贴代码出来多好,还能试试看
这个需要申请一个CVE,然后告诉下别人也是很有必要的。
这个地方是不是应该根据功能做相对应的限制,而不是直接执行任意代码,例如参考使用 SpelExpressionParser parser = new SpelExpressionParser(); SimpleEvaluationContext context = SimpleEvaluationContext.forReadOnlyDataBinding().build(); Boolean value = parser.parseExpression("1+1!=2").getValue(context, Boolean.class); System.out.println(value); 上面代码可以保护系统,做一些简单的数据绑定的操作, 不能执行代码。
可以先申请一个cve么?
Create an unprivileged user and get its cookie, which I don't think is easy for attackers.
这种项目通常不建议放到公网上面执行吧
Permission Vulnerability of Path /xxl-job-admin/joblog/clearLog & /xxl-job-admin/joblog/logDetailCat
Create an unprivileged user and get its cookie, which I don't think is easy for attackers.
If you can go to this page, then you can do more things.
麻烦再更新一下二维码,谢谢!