常見的框架漏洞有什么

常見的框架漏洞有以下這些：

• Spring框架漏洞：Spring Security OAuth2是為Spring框架提供安全認證支持的一個模塊。Spring Security OAuth2處理認證請求的時候如果使用了whitelabel views，response_type參數值會被當做Spring SpEL來執行，攻擊者可以在被授權的情況下通過構造response_type值也就是通過構造惡意SpEL表達式可以觸發遠程代碼執行漏洞。故是在需要知道賬號密碼的前提下才可以利用該漏洞。

• Struts2框架漏洞：Struts2是一款基于Java開發的框架，web路徑下會出現兩種特殊的文件格式，即.action文件與.jsp文件;現階段已知的S2poc大多數都是遠程命令執行漏洞，主要出現位置有url中，報文內容中，content-type中;

• ThinkPHP框架漏洞：thinkphp是一個國內輕量級的開發框架，采用php+apache，在更新迭代中，thinkphp也經常爆出各種漏洞，thinkphp一般有thinkphp2、thinkphp3、thinkphp5、thinkphp6版本，前兩個版本已經停止更新。

• shiro框架漏洞：Shiro默認使用了CookieRememberMeManager，其處理cookie的流程是: 得到rememberMe的cookie值–>Base64解碼–>AES解密–>反序列化.然而AES的密鑰是硬編碼的，密鑰泄漏的根本原因是開發人員在開發過程中部分代碼直接使用了網上的一些開源的項目代碼，就導致了攻擊者可以構造惡意數據造成反序列化的RCE漏洞。

回答所涉及的環境：聯想天逸510S、Windows 10。