Expression Language Injection

Was ist Expression Language Injection?

Die Software erstellt die gesamte oder einen Teil einer EL-Anweisung (Expression Language) in einer Java Server Page (JSP) unter Verwendung von extern beeinflussten Eingaben einer vorangestellten Komponente, aber spezielle Elemente werden nicht oder fehlerhaft neutralisiert, die die beabsichtigte EL-Anweisung zuvor ändern könnten, bevor diese ausgeführt wird.

Tipp

Überprüfen Sie die Sicherheit Ihrer Website mit unserem kostenlosen Security Crawler oder mit der OSG Performance Suite Free Version.

Lösung

Der Scanner prüft, ob die Webanwendung einem Expression Language (EL) Injection Angriffe unterzogen wird. Dies geschieht, wenn eine Anwendung spezielle Elemente, die beabsichtigte EL-Anweisungen, vor deren Ausführung ändern könnten, nicht ausreichend neutralisiert wird.

Andere Informationen

In bestimmten Versionen von Spring 3.0.5 und früheren Versionen gab es eine Sicherheitsanfälligkeit (CVE-2011-2730), bei der Expression Language-Tags zweimal ausgewertet wurden, wodurch jede Anwendung einer EL-Injection ausgesetzt wurde. Diese Schwachstelle ist jedoch auch für spätere Versionen je nach Konfiguration möglich.

Allgemeiner Schwachstellen-Datenbanklink

https://cwe.mitre.org/data/definitions/917.html


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte