FreeMarker SSTI漏洞基础 北京卓识网安技术股份有限公司基础知识Freemarker是一种java模板开发引擎，基于模板和程序数据动态输出文本的通用工具。在freemarker中以ftl文件作为模板文件，其结构类似于html格式，一般由以下几部分组成： 1. 文本，即文本。 2. 注释，与html注释一样。 3. 插值，使用${}包裹，用于动态地从程序中插入数据。 4. ftl标签，内建函数Freemarker中的内建函数：new()和api() 1.new()：new函数用法是"value"?new()，在?的左边你可以指定一个字符串，是TemplateModel实现类的完全限定名，结果是调用构造方法生成一个方法变量，然后将新变量返回。 2.api()：api函数用法是"value"?api，value?api提供访问 value的API(通常是Java API)，比如value?api.someJavaMethod()。api函数使用是有前提条件的： o api_builtin_enabled 配置设置项必须设置为true。为了不降低已有应用程序的安全性，它的默认值是false(至少在2.3.22 版本中)。 o 值本身要支持它。我们在讨论当模板看到的值，它是通过对象包装 从原始对象值(来自于数据模...

2025年4月20日，在第八届数字中国建设峰会组委会指导下，由福建省通信管理局、福州市人民政府主办，中国软件评测中心、福州市电子信息集团、福建师范大学共同承办的“2025数字中国创新大赛·数字安全赛道——数据安全产业子赛道”全国总决赛在福建师范大学圆满落幕。本次大赛共吸引了来自通信、互联网、金融、能源、工业、教育、交通等各行业领域2000余支队伍6000余名网络和数据安全专业选手以及百余家企事业单位参赛。数据安全赛道颁奖现场大赛以“筑牢数字安全底座，护航新质生产力发展”为主题，聚焦数据安全和移动互联网安全两大领域，在数字安全赛道评选中，国家电投集团数字科技有限公司和北京卓识网安技术股份有限公司联合申报的方案《多场站电力数据可信智能分析与安全能力自校验系统》，获得2025数字中国创新大赛"非通信行业数据安全优秀案例"铜奖。参赛方案通过密码学与分布式机器学习技术的融合创新，构建了“数据可用不可见、过程可验不可改”的新型监管基础设施方案，为新型电力系统的安全治理树立了行业标杆。在数字中国建设全面提速的背景下，数据安全已...