摘要:
需求: 为了支持动态配置,log4j在格式化的时候添加JNDI功能。例如从外部配置文件中加载日志级别、日志输出目录等配置信息。 实现: 格式化的时候,添加jndi lookup。 失误: JNDI链接可控导致JNDI注入 修复: Log4j 2.15.0版本禁用JNDI Lookup功能 阅读全文
摘要:
一 fastjson1.2.24 修复方式: 添加黑白名单校验 二 Templateslmpl利用链 条件: 开启autoTypeSuppose 三 fastjson1.2.41 条件: 开启autoTypeSuppose 利用方式: "L;" 绕过 修复方式: 过滤一次"L;" 四 fastjso 阅读全文