模板注入(SSTI)攻擊(jinja2)
和常見Web注入(SQL注入等)的成因一樣,也是服務端接收了用戶的輸入,將其作爲 Web 應用模板內容的一部分,在進行目標編譯渲染的過程中,執行了用戶插入的惡意內容,因而可能導致了敏感信息泄露、代碼執行、GetShell 等問題。其影響範圍主要取決於模版引擎的複雜性。(web安全中的真理:永遠不要相信用戶的輸入) 以一道CTF爲例,簡單演示一下注入的流程及一些被過濾了的命令的構造方法; 首先打開網
相關文章
- 1. SSTI(模板注入)
- 2. SSTI模板注入
- 3. 初識SSTI(服務端模板注入攻擊)
- 4. 有關於服務端模板注入(ssti攻擊)——BUUCTF - easy_tornado
- 5. Flask(Jinja2) 服務端模板注入漏洞(SSTI)
- 6. python-Flask模版注入攻擊SSTI(python沙盒逃逸)
- 7. CTF SSTI(服務器模板注入)
- 8. SSTI (服務器模板注入)
- 9. SSTI-服務端模板注入漏洞
- 10. Python模塊注入-SSTI
- 更多相關文章...
- • SQLite 注入 - SQLite教程
- • Maven 項目模板 - Maven教程
- • 委託模式
- • YAML 入門教程
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
歡迎關注本站公眾號,獲取更多信息
