专栏名称: 七芒星实验室
未知攻,焉知防,以攻促防,共筑安全!
今天看啥  ›  专栏  ›  七芒星实验室

JAVA安全之Velocity模板注入刨析

七芒星实验室  · 公众号  ·  · 2024-09-26 07:00
    

文章预览

文章前言 关于Velocity模板注入注入之前一直缺乏一个系统性的学习和整理,搜索网上大多数类似的内容都是一些关于漏洞利用的复现,而且大多都仅限于Velocity.evaluate的执行,对于载荷的构造以及执行过程并没有详细的流程分析,于是乎只能自己动手来填坑了~ 模板介绍 Apache Velocity是一个基于模板的引擎,用于生成文本输出(例如:HTML、XML或任何其他形式的ASCII文本),它的设计目标是提供一种简单且灵活的方式来将模板和上下文数据结合在一起,因此被广泛应用于各种Java应用程序中包括Web应用 基本语法 Apache Velocity的语法简洁明了,主要由变量引用、控制结构(例如:条件和循环)、宏定义等组成 变量引用 在Velocity模板中可以使用$符号来引用上下文中的变量,例如: Hello, $name ! 示例代码: #Java代码 context.put( "name" , "Al1ex" ); #模板内容 Hello, $name! / ………………………………

原文地址:访问原文地址
快照地址: 访问文章快照
总结与预览地址:访问总结与预览