你使用的第三方插件安全么?这里教你如何使用安全的第三方框架!

现在的开发过程中我们会发现越来越多的第三方插件被使用,这样大大的方便了我们的开发。

但是你知道你使用的这些插件安全么?相信很多开发还不知道自己使用的插件本身就是有漏洞的,那你自己写的代码再安全,你这个网站其实也是有漏洞的。

常见的框架比如:struts2、spring、jquery、lo4j等

这里不仅有后端框架也有前端框架。在这里我以struts2为例,不同版本的struts2存在不同的反序列化漏洞。常见以.do、.action结尾的网站基本上都使用了struts2框架。

这个网站

 

你使用的第三方插件安全么?这里教你如何使用安全的第三方框架!_第1张图片

通过抓包,抓取“查看”里面的数据包,发现里面以.action结尾,基本断定存在使用struts2

 

你使用的第三方插件安全么?这里教你如何使用安全的第三方框架!_第2张图片

将该链接放入struts2专查工具可看(需要该工具的私信我)

我们通过s2-016即可查看当前用户:

 

 

你使用的第三方插件安全么?这里教你如何使用安全的第三方框架!_第3张图片

在命令行这里你就可以输输入任意的cmd命令了。

所以我们再使用任何第三方插件时,一定要去其官网上查看,所使用的版本是否存在漏洞,如果已知存在漏洞了就千万不能再使用了,否则你写出来的代码一定是存在漏洞的。

 

 

你可能感兴趣的:(框架)