Java Web安全：EL注入漏洞原理与防御实战

1. 表达式语言（EL）注入概述

表达式语言（Expression Language，简称EL）注入是Java Web应用中一种高危的安全漏洞。当开发者错误地将用户输入直接拼接到EL表达式中，攻击者就能注入恶意代码，导致远程命令执行、敏感数据泄露等严重后果。

EL最初设计用于简化JSP页面中的数据访问，其语法如${user.name}可以方便地获取JavaBean属性。但随着功能增强，EL支持了方法调用、静态类访问等特性，这也为攻击者提供了可乘之机。

关键点：EL注入本质上属于"代码注入"类漏洞，与SQL注入、XSS等有相似之处，都是由于未正确处理"数据"与"代码"边界导致的。

2. EL注入漏洞原理分析

2.1 漏洞产生条件

EL注入需要同时满足三个条件：

1. 用户输入未经充分验证和过滤
2. 应用将用户输入直接拼接到EL表达式中
3. 拼接后的表达式被EL引擎解析执行

典型漏洞代码如下：

java复制// 漏洞Servlet
String userInput = request.getParameter("input");
request.setAttribute("message", userInput);  // 直接将用户输入存入request属性
request.getRequestDispatcher("/result.jsp").forward(request, response);

// 漏洞JSP
<p>${message}</p>  // 直接输出request属性，如果message包含EL表达式会被执行

2.2 EL的强大功能

现代EL支持的危险操作包括：

• 方法调用：${object.method(args)}
• 静态类访问：${T(java.lang.Runtime)}
• 反射操作：${''.class.forName('java.lang.Runtime')}
• 算术和逻辑运算

这些功能本为方便开发，但被攻击者利用就会造成严重危害。

3. EL注入实战演示

3.1 环境搭建

使用Docker快速搭建漏洞环境：

bash复制# docker-compose.yml
version: '3.8'
services:
  el-injection-lab:
    image: vulhub/tomcat:8.5.31
    ports:
      - "8080:8080"
    environment:
      - CATALINA_OPTS=-Dorg.apache.el.parser.SKIP_IDENTIFIER_CHECK=true
    volumes:
      - ./vuln-app.war:/usr/local/tomcat/webapps/ROOT.war

3.2 漏洞检测

基础探测Payload：

code复制http://localhost:8080/vuln?input=${7*7}

如果返回页面显示"49"而非"7*7"，则存在EL注入。

3.3 漏洞利用

命令执行

code复制${T(java.lang.Runtime).getRuntime().exec('calc')}

文件读取

code复制${T(org.apache.commons.io.IOUtils).toString(
  T(java.lang.ClassLoader).getSystemResourceAsStream('/etc/passwd')
)}

信息泄露

code复制${T(java.lang.System).getProperty('os.name')}
${pageContext.request.servletPath}

4. 防御措施

4.1 开发层面

1. 输入验证：对用户输入实施白名单过滤

java复制if (!input.matches("^[a-zA-Z0-9\\s.,!?']+$")) {
    throw new IllegalArgumentException("Invalid input");
}

2. 安全输出：

jsp复制<%-- 禁用EL --%>
<%@ page isELIgnored="true" %>

<%-- 使用JSTL c:out转义 --%>
<p><c:out value="${message}" /></p>

3. 避免危险模式：

• 不要直接拼接用户输入到EL中
• 避免使用request.setAttribute()传递未过滤的用户输入

4.2 运维层面

1. 中间件加固：

• 升级到最新版Tomcat/Jetty
• 确保SKIP_IDENTIFIER_CHECK=false
• 配置安全管理器限制危险操作

2. WAF规则：

apache复制SecRule ARGS "\$\{.*(runtime|exec|class\.forName).*\}" \
    "phase:2,deny,msg:'EL Injection Attempt'"

3. 监控与日志：

• 监控包含${、T(等特征的请求
• 关注EL解析异常日志

5. 经验总结

在实际渗透测试中，发现EL注入漏洞需要注意：

1. 上下文差异：不同框架(JSF/Spring/JSP)的EL实现有差异
2. 绕过技巧：
   • 使用反射绕过关键字过滤
   • 字符串拼接：${'Runt'+'ime'}
   • 编码混淆：${''['class'].forName('java.lang.Runtime')}
3. 无回显利用：
   • DNS外带数据
   • 延时判断：${T(Thread).sleep(5000)}
4. 现代框架风险：
   • Spring SpEL注入
   • Thymeleaf表达式注入

修复这类漏洞最有效的方法是严格区分代码和数据的边界，所有用户输入都应视为不可信数据，必须经过验证和转义后才能使用。