SPEL 漏洞挖掘之从sql插入到命令执行的奇思妙想
# SPEL 漏洞挖掘:从 SQL 插入到命令执行的深入分析与利用
## 一、SPEL 表达式注入漏洞概述
Spring Expression Language(SPEL)是 Spring 框架提供的表达式语言,用于在运行时查询和操作对象图。当应用程序使用 `StandardEvaluationContext` 而非安全的 `SimpleEvaluationContext` 时,如果用户能够控制输入内容,就可能造成任意代码执行。
### 风险核心
- `StandardEvaluation
2025-09-19 12:10:30
0