本篇介紹了以下代碼安全問題
1、OGNL表達式注入
2、HTTP響應截斷:SMTP
3、XQuery注入
4、XSLT注入
5、XML外部實體注入
6、Fragment注入
7、XML實體擴展注入
8、HTTP響應截斷:Cookies
9、有風險的SQL查詢:MyBatis
10、Android類加載注入
1、OGNL表達式注入
詳細信息
應用程序對可被用戶控制的輸入未經合理校驗,傳遞給OGNL(Object-Graph Navigation Language)表達式,可能導致程序執行惡意代碼。
例如:在以下代碼片段中,應用程序使用可被用戶控制的輸入數據創建OGNL表達式。
...
OgnlContext oct= new OgnlContext();
Cookie cookieSources[] = request