你尚未登录
未加入『代码审计』知识星球的用户只能查看少量内容,且不能下载附件。 加入『代码审计』知识星球即可查看所有内容。
@路人甲:p牛您好,抱歉占用您的时间和资源,我是一名Java安全初学者,想向您请教一点Java绕waf的一点问题,前段时间有个geoserver的漏洞是jxpath的命令注入,那个漏洞的payload采用的是exec(java.lang.Runtime.getruntime(),'whoami')这样的方式进行注入,如果有waf直接对exec()或者对括号进行限制,是否就可以有效防止对命令注入的利用呢,我目前在网上只看到相关的jxpath的利用,没有找到相关绕过思路