Aj-report 二次就业

文章预览

微信公众号： 黑伞安全 关注可了解更多的网络安全技术分享。如有问题或建议，请公众号留言; 如果你觉得挖不到src漏洞，希望黑伞安全知识星球对你有帮助，欢迎加入 [1] 内容目录 aj-report 二次就业 0x01 filter 绕过 0x02 sql 信息泄漏 0x03 js执行命令 0x04 validationRules 命令执行 0x05 zip-slip 0x06 大屏分享信息泄漏 0x07 java代码执行 0x08 jwt 绕过登录 0x09 sql问题 修复意见 aj-report 二次就业 最新先知有人发了aj-report文章，看了看，是一个filter绕过，还有jwt，竟然还没修,这是两年前发表的AJ-Report_RCE。aj-report是我两年前学习代码审计审计的第一套代码，那时候藏了一些洞没写，所以现在重新看一看。环境v1.4.1。 0x01 filter 绕过 com.anjiplus.template.gaea.business.filter.TokenFilter.java 解释     public   void   doFilter (ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filter ………………………………