Expression Language Injection

expression language injection

Copyright © Shutterstock / lassedesignen

Was ist Expression Language Injection?

Die Software erstellt die gesamte oder einen Teil einer EL-Anweisung (Expression Language) in einer Java Server Page (JSP) unter Verwendung von extern beeinflussten Eingaben einer vorangestellten Komponente, aber spezielle Elemente werden nicht oder fehlerhaft neutralisiert, die die beabsichtigte EL-Anweisung zuvor √§ndern k√∂nnten, bevor diese ausgef√ľhrt wird.

Tipp

√úberpr√ľfen Sie die Sicherheit Ihrer Website mit unserem kostenlosen Security Crawler oder mit der OSG Performance Suite Free Version.

Lösung

Der Scanner pr√ľft, ob die Webanwendung einem Expression Language (EL) Injection Angriffe¬†unterzogen wird. Dies¬†geschieht, wenn eine Anwendung spezielle Elemente, die beabsichtigte EL-Anweisungen, vor deren Ausf√ľhrung √§ndern k√∂nnten, nicht ausreichend neutralisiert wird.

Andere Informationen

In bestimmten Versionen von Spring 3.0.5 und fr√ľheren Versionen gab es eine Sicherheitsanf√§lligkeit (CVE-2011-2730), bei der Expression Language-Tags zweimal ausgewertet wurden, wodurch jede Anwendung einer EL-Injection ausgesetzt wurde. Diese Schwachstelle ist jedoch auch f√ľr sp√§tere Versionen je nach Konfiguration m√∂glich.

Allgemeiner Schwachstellen-Datenbanklink

https://cwe.mitre.org/data/definitions/917.html


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte