V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
pppan
V2EX  ›  信息安全

JNDI 注入漏洞的前世今生

  •  1
     
  •   pppan · 2021-12-15 18:48:08 +08:00 · 3196 次点击
    这是一个创建于 1080 天前的主题,其中的信息可能已经有所发展或是发生改变。

    对 Java JNDI 的研究以及相关注入漏洞的原理和利用:

    https://evilpan.com/2021/12/13/jndi-injection/

    9 条回复    2021-12-16 10:15:42 +08:00
    qq8331199
        1
    qq8331199  
       2021-12-15 19:06:46 +08:00
    可以赞一个
    v2000000001ex
        2
    v2000000001ex  
       2021-12-15 19:11:47 +08:00
    说的很细,不过没看懂
    gosansam
        3
    gosansam  
       2021-12-15 19:14:14 +08:00
    牛皮啊大佬 看睡过去了
    zoharSoul
        4
    zoharSoul  
       2021-12-15 19:18:01 +08:00
    我想知道个问题,
    现在 java 的应用, 能不能关掉 jndi, rmi 功能,
    如果能的话, 关掉会影响什么? 对于常见的 spring web 后端有什么影响吗?
    aqqwiyth
        5
    aqqwiyth  
       2021-12-15 19:58:03 +08:00
    @zoharSoul @value 跟 xml 中的 ${} 会有一定影响
    zoharSoul
        6
    zoharSoul  
       2021-12-15 20:08:33 +08:00
    @aqqwiyth #5 @value 是谁的注解啊? 这个依赖的是什么? rmi 还是 jndi 啊 ? 求问大佬
    ccppgo
        7
    ccppgo  
       2021-12-16 09:34:09 +08:00
    @zoharSoul @Value 是 spring 拿配置的啊
    e583409
        8
    e583409  
       2021-12-16 10:08:41 +08:00
    zoharSoul
        9
    zoharSoul  
       2021-12-16 10:15:42 +08:00
    @ccppgo #7 嗯嗯, 那这个是依赖的 rmi 还是 jndi 啊?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2824 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 14:26 · PVG 22:26 · LAX 06:26 · JFK 09:26
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.