Home » Tags

Spring

CVE-2022-22947——Spring Cloud Gateway 学习 & SpEL 的多种注入

CVE-2022-22947 的起因是作者 @Wyatt 在 Bring Your Own SSRF – The Gateway Actuator 一文中提及到利用 Spring Cloud Gateway Actuator 构造 SSRF,之后该作者利用发现的暴露的 Actuator 执行器,在 CVE-2022-22947: SpEL Casting and Evil Beans 中讲到: /actuator/gateway/routes/创建路由并在 filters字段插入一个 SpEL 表达式,Spring Cloud Gateway 在处理过滤器时会执行该表达式,通过构造恶意 SpEL 可实现 RCE。 ...

November 27, 2025 · ☕☕☕☕☕ 29 min · 📄 1.4 万字 · Java安全

SpEL 表达式注入

SpEL 表达式注入 1、SpEL 基础 1.1 简介 在 Spring3 中引入了 Spring 表达式语言(Spring Expression Language,简称 SpEL),是一种强大的运行时查询和操作对象图的语言,语法类似于Jakarta表达语句,但额外支持方法调用和基本字符串模板。SpEL旨在为Spring社区提供一种统一且功能全面的表达式语言,适用于所有Spring产品,并根据这些产品的需要设计了其特性。尽管SpEL是Spring框架的一部分,但它可以独立于Spring使用。通常情况下,用户只需编写简单的表达式字符串即可利用SpEL的功能,无需关心底层架构细节。例如,在基于XML或注解的bean定义中集成SpEL就是一个常见应用。 ...

November 17, 2025 · ☕☕☕ 10 min · 📄 4.8k 字 · Java安全

Java 内存马第三篇 - Spring 内存马

Java 内存马第三篇 - Spring 内存马 三、Spring 内存马 1、Controller 内存马 一些基础知识: Bean Bean 是 Spring 框架的一个核心概念,它是构成应用程序的主干,并且是由 Spring IoC 容器负责实例化、配置、组装和管理的对象。 ...

November 8, 2025 · ☕☕☕☕ 14 min · 📄 6.6k 字 · Java安全

Spring

1、Spring简介 Spring 官网 Spring 5.2.0 官方文档 GitHub - spring-projects/spring-framework: Spring Framework spring-webmvc xml 1 2 3 4 5 6 <!-- https://mvnrepository.com/artifact/org.springframework/spring-webmvc --> <dependency> <groupId>org.springframework</groupId> <artifactId>spring-webmvc</artifactId> <version>5.2.0.RELEASE</version> </dependency> 1.1、优点 Spring是一个开源的免费的框架 Spring是一个轻量级的、非入侵式的框架 控制反转(IOC),面向切面编程(AOP) 支持事物的处理,对框架整合的支持 总结一句话:Spring就是一个轻量级的控制反转(IOC)和面向切面编程(AOP)的框架 ...

August 12, 2025 · ☕☕☕☕☕ 31 min · 📄 1.5 万字 · Java安全