JavaSec-SPEL - 表达式注入

简介

SPEL(Spring Expression Language)：SPEL是Spring表达式语言，允许在运行时动态查询和操作对象属性、调用方法等，类似于Struts2中的OGNL表达式。当参数未经过滤时，攻击者可以注入恶意的SPEL表达式，从而执行任意代码 表达式语言/模板：表达式语言用于动态处理固定格式的内容，其中变量部分可以在运行时填入。模板可以将固定部分提取出来，方便模块化管理，动态填充变量内容

1.漏洞情景：原生漏洞场景

1、SpelExpressionParser.parseExpression()2、Expression.getValue()

public R vul(String ex) {// 创建SpEL解析器，ExpressionParser接口用于表示解析器，SpelExpressionParser为默认实现ExpressionParser parser = new SpelExpressionParser();// Expression expression = parser.parseExpression(ex);// String result =  expression.getValue().toString();// 构造上下文 上下文其实就是设置好某些变量的值，执行表达式时根据这些设置好的内容区获取值 在不配置的情况下具有默认类型的上下文EvaluationContext evaluationContext = new StandardEvaluationContext();// 解析表达式，将用户输入的字符串解析为Expression对象Expression exp = parser.parseExpression(ex);// 通过上下文计算表达式的值，并将结果转换为字符串String result = exp.getValue(evaluationContext).toString();return R.ok(result);
}

2.安全场景：使用SimpleEvaluationContext限制表达式功能

SimpleEvaluationContext不支持以下危险功能：Java 类型引用: 无法通过表达式引用Java类，从而防止调用静态方法构造函数调用: 不能通过表达式实例化新对象Bean 引用: 无法通过表达式访问Spring应用上下文中的bean

public R safe(String ex) {ExpressionParser parser = new SpelExpressionParser();// 使用 SimpleEvaluationContext 限制表达式功能(Java类型引用、构造函数调用、Bean引用)，防止危险的操作EvaluationContext simpleContext = SimpleEvaluationContext.forReadOnlyDataBinding().build();Expression exp = parser.parseExpression(ex);String result = exp.getValue(simpleContext).toString();return R.ok(result);
}