目录

框架漏洞相关

框架漏洞

1 定义与原理

1.1 框架安全

随着应用开发的复杂度提升,很难再有完全从零开发的 web 应用,而更多的使用 web 框架,很大一部分开源框架得到了全世界的开发者支持,具备更加强大功能和完善的支持。

正因如此,开源的框架使用的范围越来越广最大程度的减小了网站开发的难度和时间。

但是开源框架的问题在于,他的源码被全世界的开发者所阅读,小型框架的漏洞非常容易被人发现,而大型框架也不意味着安全,复杂的调用关系并不能杜绝漏洞被人所发现。

一旦一个大型框架出现漏洞,那么黑客相当于拿到了所有使用这个框架的网站的通行证。

几乎所有的大型框架都出现过漏洞,影响范围非常广。

1.2 典型框架

structs2 作为曾经世界上最流行的 Java Web 框架之一,广泛应用于教育、金融、互联网、通信等重要行业,直到目前仍然被大量使用。

spring 是目前基于 java 的最流行的框架,大部分的 java 大型项目都直接或间接的使用了 spring 框架。

ThinkPHP 是一套开源的、基于 PHP 的轻量级 Web 应用开发框架, 5.1.23 之前版本中存在 SQL 注入漏洞

django 是 python 方向企业级框架,是开发者的首选框架