五十七-代码审计-JAVA项目框架类漏洞分析报告

Filter是基于函数回调的，而Interceptor则是基于Java反射的。Filter依赖于servlet容器，而Interceptor不依赖于servlet容器。
Filter对几乎所有的请求起作用，mlnterceptor六atiu月小lTlo
Interceptor可以访问Action的上下文，值栈里的对象，而Filter不能。
最重要的要记住他们的执行顺序:先filter后interceptor,
另外在不同框架中有的是自带有的是需要自写，具体可以查看开发资料。

struts2
已知漏洞：找框架自身的版本，利用漏洞库区确定漏洞
未知漏洞：执行流程，过滤器，拦截器，框架特性

验证：采用断点调试，确定.action文件断点后，无法拦截执行请求，说明满足路由规则请求方法后跳出拦截器，绕过实现ongl表达式漏洞.

spring
已知漏洞：找框架自身的漏洞，利用漏洞库区确定漏洞
有spel表达式注入漏洞---黑盒未知漏洞
从自身源码分析到文件语句SQL中有注入漏洞，尝试（未发现过滤器及拦截器）

总结：
1.先确认源码中是否存在框架
2.确定源码中是否存在过滤器
3.过滤器中怎么触发，过滤器规则

框架里：
执行流程，特性（表达式，拦截器或过滤器自带或自写？）