H2 Database Console未授权访问 H2 database是一款java内存数据库,多用于单元测试。H2 database自带一个web管理页面,在Spring开发中,如果我们设置如下选项,即可允许外部用户访问WEB管理页面,且没有鉴权; spring.h2.console.enabled=truespring.h2.console.settings.web-allow-others=true 利用这个管理页面,我们可以进行JN...
参考 ^H2 Database Console 未授权访问https://github.com/Threekiii/Vulhub-Reproduce/blob/master/H2%20Database%20Console%20%E6%9C%AA%E6%8E%88%E6%9D%83%E8%AE%BF%E9%97%AE.md
本文将引导你探索学习并实践H2 Database Web控制台未授权访问漏洞。H2 database 是一款用于单元测试的Java内存数据库。其自带的Web管理页面在Spring开发中,若设置不当,可导致外部用户无需鉴权访问。此漏洞允许通过JNDI注入攻击,进而执行任意命令。为了开始实验,请确保你已搭建好Docker环境,并下载了配套的...