JAVA安全之Thymeleaf模板注入防护绕过

文章预览

文章前言 若依CMS中使用到了Thymeleaf模板引擎且存在模板注入可控点，但是在漏洞测试过程中发现常规的通用载荷并不生效，遂对其进行调试分析，最后发现是和Thymeleaf版本有莫大的关系，其中3.0.12版本增加了多处安全机制来防护模板注入漏洞，本篇文章将基于此背景对Thymeleaf模板的注入防御措施和绕过进行深入刨析 简易测试 在这里我们使用spring-view-manipulation进行演示说明： https://github.com/veracode-research/spring-view-manipulation 我们在正常的情况下启动项目并使用以下载荷可以成功触发恶意载荷： /path?lang=_ _ $% 7 bnew%20java.util.Scanner(T(java.lang.Runtime).getRuntime().exec(%22cmd.exe /c calc%22).getInputStream()).next()%7d__::.x 当前的Thymeleaf版本为3.0.11 项目改造 随后我们在spring-view-manipulation项目的基础上更改pom.xml中的spring-boot-starter-parent为2.5.6版本 < project xmlns = "http://maven.apache ………………………………