针对网上下面文章的漏洞补救
奇安信攻防社区-代码审计之nbcio-boot从信息泄露到Getshell
一、未授权分析
在ShiroConfig中放开了actuator方法的未授权访问
org/jeecg/config/shiro/ShiroConfig.java:156
上面问题,先注释掉上面的未授权访问,实际就是代码注释掉
二、、RCE分析
此处代码调用了ScriptEngine的eval方法,此方法若不做特殊处理易引起代码注入问题,这里不做过多解释。
com/nbcio/modules/estar/bs/service/impl/DataSetParamServiceImpl.java:99
1、针对上面情况,Da
