摘要:本文介绍了SpEL表达式以及常见的SpEL注入攻击,详细地介绍了部分漏洞攻击实例以及常用的漏洞检测与防御手段. 本文分享自华为云社区<SpEL表达式注入漏洞分析.检查与防御>,作者:华为云软件分析Lab. 在安全角度来看外部来源的数据,均应视为不可信数据,对外部数据,其包含的所有信息都须经过校验或者过滤,再向下游服务进行传递.若无防护手段,攻击者可以通过构造恶意输入,对服务进行攻击.程序中如果使用未经校验的输入构造SpEL语句,就有可能造成SpEL表达式注入漏洞.部分SpEL表达式注入漏…