SSTI(Server-Side Template Injection),即服务端模板注入攻击,通过与服务端模板的输入输出交互,在过滤不严格的情况下,构造恶意输入数据,从而达到读取文件或者getshell的目的
详情可看以下几篇文章:
浅析SSTI(python沙盒绕过)
[Flask/jinja2与SSTI「服务端模版注入攻击]](https://drops.org.cn/Python/flask-jinja2-ssti.html)
参考文章:
浅析SSTI(python沙盒绕过(https://bbs.ichunqiu.com/thread-47685-1-1.html?from=aqzx8)
Flask/jinja2与SSTI「服务端模版注入攻击](https://drops.org.cn/Python/flask-jinja2-ssti.html)
FROM :blog.cfyqy.com | Author:cfyqy
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论