CVE 漏 洞 ， 分 别 为 CVE-2022-22946[19] 与 CVE-2022-22947[20] 。 攻 击 者 通 过 利 用 CVE-2022-22947 漏洞，执行 SpEL 表达式，允许在远程主机上进行任意命 令执行，获取系统权限。CVE-2022-22946 漏洞，将会导致网关能够使用无效 或自定义证书连接到远程服务。 2.5.3 微服务应用攻击 微服务最终也是一个 、任意文件上传、读取 及目录遍历、CSRF、未经验证的转发和重定向、使用弱加密算法及弱随机数、 使用硬编码凭证、响应头截断、文件包含、jsonp 劫持、服务端模板注入、XPATH 注入、正则表达式拒绝服务攻击等。 4.2 运行时安全能力建设 运行时安全关注正在运行的业务应用和容器的安全性，运行时安全主要从 Web 应用和 API 安全、网络微隔离和云原生运行时安全三个层面进行安全能力

轻量级探针端 + 统一管控中心 + 积极防御插件 运营时威胁与攻击 注入攻击 URL黑名单 跨站脚本攻击 …… 恶意文件访问 反序列化攻击 扫描器攻击 OWASP Top 10 文件读写 数据库访问 表达式执行 本地命令执行 … 检测/响应 虚拟补丁 攻击分析 扫描拦截 威胁出厂免疫 攻击态势分析 安全事件监测 攻击来源回溯 Java Web 积极防御引擎 Tomcat SpringBoot