JNDI注入

本文介绍jndi注入

jndi注入就是jndi loopup的参数可控,就跟命令注入类似

JNDI-Reference

JNDI服务中允许使用系统以外的对象,比如在某些目录服务中直接引用远程的Java对象,但遵循一些安全限制。

1
2
3
4
//className为远程加载时所使用的类名,如果本地找不到这个类名,就去远程加载
//factory为工厂类名
//factoryLocation为工厂类加载的地址,可以是file://、ftp://、http:// 等协议
Reference(String className,  String factory, String factoryLocation)

cnm只有很低版本能用

技术 > web
#web安全 #java
JNDI注入
https://www.xiaotian.org.cn/2025/09/02/Java安全jndi注入/
作者
xiaotian
发布于
2025年9月2日
许可协议