6.3.1.1 代码注入漏洞

文档摘要

6.3.1.1 代码注入漏洞 6.3.1.1 代码注入漏洞：当不是敌人，而你信任的字符串拼接才是——一个被忽略十年的模板引擎逃逸链实战复盘凌晨两点十七分，生产环境告警钉钉群炸开第三条红色消息：“ 接口 CPU 持续 98%，已触发熔断”。运维同事甩来一张火焰图截图：占比 73.2%，调用栈深处赫然躺着一行被注释掉十年却从未删除的代码：这不是演习。这是真实发生在某金融级数据中台的一次 P0 级故障——它没触发任何 WAF 规则，绕过了全部 AST 静态扫描，连 Snyk 和 Semgrep 的规则都安静如初。攻击者仅用一条 URL 就让整套报表服务陷入不可用，并在内存中执行了任意 Node.js 命令。