EL表达式执行限制及绕过技术分析<\/h1>

1. EL表达式基础原理<\/h2>

EL(Expression Language)表达式在JSP中主要用于动态执行操作，其核心执行流程如下：<\/p>

解析过程<\/strong>：<\/p>

将EL表达式字符串解析成多个Node<\/code>结点<\/li>
在JSP中通过proprietaryEvaluate<\/code>方法将表达式解析成ValueExpression<\/code>实现类<\/li>
children<\/code>变量存储了抽象出的各个Node结点<\/li> <\/ul> <\/li>
执行过程<\/strong>：<\/p> 通过AstValue#getValue<\/code>方法执行表达式<\/li> 取出第一个Node作为base结点，获取结点数、ElResolver等<\/li> 循环遍历每个子结点，以.<\/code>为分割符<\/li> 下一个结点通常是AstDotSuffix<\/code>类对象<\/li> <\/ul> <\/li> <\/ol> 2. 方法调用机制<\/h2> 当表达式调用方法时：<\/p> 如果下下个结点是AstMethodParameters<\/code>类对象，表示正在调用方法<\/li> 通过getParameters<\/code>获取参数，AstMethodParameters#getParameters<\/code>将参数数组化<\/li> 核心执行在ElResolver#invoke<\/code>方法中<\/li> EL支持多种解析器，其中第7个BeanELResolver<\/code>是核心解析器<\/li> <\/ol> 执行流程<\/strong>：<\/p> 将method转化成String类型的方法名<\/li> 在基类base中查找该方法<\/li> 通过反射调用该方法<\/li> 将执行结果设置为新的base基类，进行下一次循环<\/li> <\/ol> 3. Node结点类型分析<\/h2> EL表达式解析后会产生多种Node类型：<\/p> AstMapData<\/code>：返回HashMap结构的数据<\/li> AstConcatenation<\/code>：拼接两个字符串并返回结果<\/li> AstLambdaExpression<\/code>：支持lambda表达式执行<\/li> AstListData<\/code>：处理list数据<\/li> AstBracketSuffix<\/code>：处理[]<\/code>中的数据<\/li> <\/ol> 4. 非常规执行方式<\/h2> 4.1 中括号调用方式<\/h3> 除了常规的.<\/code>调用方式，还可以使用[]<\/code>中括号进行方法调用：<\/p> ${param['class']()['forName']("javax.script.ScriptEngineManager")['newInstance']()['getEngineByName']("js")['eval']("java.lang.Runtime.getRuntime().exec(\"calc\")")} <\/code><\/pre> 执行原理<\/strong>：<\/p> AstBracketSuffix#getValue<\/code>方法返回[]<\/code>内的第一项内容<\/li> 如果是字符串，解析成AstString<\/code>类，其getValue<\/code>方法直接返回值<\/li> 效果等同于使用.<\/code>进行反射调用<\/li> <\/ol> 4.2 Getter\/Setter机制<\/h3> 在EL表达式中：<\/p> 通过.<\/code>访问属性实际上是调用对应属性的getter方法<\/li> 使用=<\/code>连接的表达式解析成AstAssign<\/code>，等号两边作为该结点的两个子结点<\/li> 通过调用结点的getValue<\/code>方法进行表达式求值<\/li> <\/ul> 5. 安全绕过技术<\/h2> 5.1 反射调用绕过<\/h3> 通过反射调用关键类和方法实现命令执行：<\/p> ${param.getClass().forName(param.c).newInstance().eval(param.cmd)} <\/code><\/pre> 5.2 脚本引擎利用<\/h3> 通过ScriptEngineManager执行JavaScript代码：<\/p> ${param.getClass().forName("javax.script.ScriptEngineManager").newInstance().getEngineByName("js").eval("java.lang.Runtime.getRuntime().exec(\"calc\")")} <\/code><\/pre> 5.3 参数化调用<\/h3> 通过请求参数动态传入类名和方法名：<\/p> ${param[param.method](param.args)} <\/code><\/pre> 6. 防御建议<\/h2> 输入过滤<\/strong>：<\/p> 严格过滤EL表达式中的特殊字符和关键字<\/li> 禁用反射相关类和方法<\/li> <\/ul> <\/li> 配置限制<\/strong>：<\/p> 禁用EL表达式中的方法调用功能<\/li> 限制可解析的类范围<\/li> <\/ul> <\/li> 安全编码<\/strong>：<\/p> 避免直接使用用户输入构建EL表达式<\/li> 使用安全的表达式解析器替代标准EL<\/li> <\/ul> <\/li> 运行时防护<\/strong>：<\/p> 监控可疑的反射调用<\/li> 限制脚本引擎的使用<\/li> <\/ul> <\/li> <\/ol> 7. 总结<\/h2> EL表达式的动态执行特性虽然提供了灵活性，但也带来了安全风险。攻击者可以通过反射、脚本引擎等多种方式绕过限制执行任意代码。理解EL表达式的解析和执行机制，有助于更好地防御相关攻击。开发者应严格限制EL表达式的使用场景，并对用户输入进行严格过滤和验证。<\/p>