模板引擎 - 第 2 | CN-SEC 中文网

安全博客

Enjoy模板引擎分析

Enjoy模板引擎分析前置首先有关Enjoy模板引擎的一些描述可以看这里：https://jfinal.com/doc/6-1文档中值得关注的点属性访问触发get方法在官方文档里面我们可以看到很多有趣...

10月29日17 views评论

阅读全文

代码审计

JAVA安全之FreeMark模板注入刨析

文章前言关于FreeMark模板注入注入之前一直缺乏一个系统性的学习和整理，搜索网上大多数类似的内容都是一些关于漏洞利用的复现，对于载荷的构造、执行过程、防御措施等并没有详细的流程分析，于是乎只能自己...

10月25日15 views评论

阅读全文

CVE-2023-38286｜Spring Boot Admin 远程代码执行漏洞

0x00 前言Thymeleaf 是一个 XML/XHTML/HTML5 模板引擎，可用于 Web 与非 Web 环境中的应用开发。它是一个开源的 Java 库，基于 Apache License 2...

10月16日安全漏洞76 views评论

阅读全文

安全文章

go_ssti风险

简介这篇文章中，主要讲解Go场景下SSTI风险环境记录详见下文具体代码从SSTI开始SSTI（Server-Side Template Injection，服务端模板注入）是一种Web应用漏洞，发生在...

10月07日15 views评论

阅读全文

安全工具

免杀ASP Webshell生成工具

就在前几天，我在准备一次红蓝对抗演习时，发现了一个非常有趣的开源工具——一个ASP Web shell生成器。这个工具使用Python的Jinja2模板引擎，可以混淆生成的Web shell，增加检测...

08月02日11 views评论

阅读全文

第七课-系统学习代码审计：SSTI模板注入

视频教程：https://space.bilibili.com/482887446?spm_id_from=333.1007.0.0主要内容：1、SSTI模板注入2、Velocity语法3、Veloc...

07月26日代码审计16 views评论

阅读全文

安全文章

SSTI注入WAF绕过篇

本文由掌控安全学院 - 我是大白投稿什么是SSTI SSTI，其中文名为服务端模板注入。首先我们需要先了解一下：什么是模板引擎？模板引擎是为了使用户界面与业务数据分离而产生，它可以生成特定格...

06月03日24 views评论

阅读全文

代码审计

代码审计-Java项目-SSTI模板注入

代码审计必备知识点：1、代码审计开始前准备：环境搭建使用，工具插件安装使用，掌握各种漏洞原理及利用,代码开发类知识点。2、代码审计前信息收集：审计目标的程序名，版本，当前环境(系统,中间件,脚本语言等...

05月28日22 views评论

阅读全文

代码审计

利用GPT进行代码审计-Beelt模板注入

概述Beetl 是一款高性能、开源的 Java 模板引擎，它提供了简洁而强大的模板语法，使开发者能够方便地生成动态的文本输出。Beetl 模板引擎具有灵活的配置选项和丰富的功能，可以广泛应用于 Web...

04月14日108 views评论

阅读全文

安全文章

HackTheBox-Bike

初始点1级第七关Bike获取目标机IP。nmap扫描开放端口。nmap -sC -sV -v {target_IP}-sC：脚本扫描-sV：版本检测-v：详细扫...

02月26日31 views评论

阅读全文

安全文章

【漏洞复现】（nday）Ecshop两个注入复现

0x01 阅读须知SCA御盾实验室的技术文章仅供参考，此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计...

11月25日104 views评论

阅读全文

安全文章

Flask SSTI靶场记录

环境https://www.ctfer.vip/problem/13源码：https://github.com/X3NNY/sstilabs知识点flaskSSTISSTI（Server-Side T...

10月17日26 views评论

阅读全文

Enjoy模板引擎分析

JAVA安全之FreeMark模板注入刨析

CVE-2023-38286｜Spring Boot Admin 远程代码执行漏洞

go_ssti风险

免杀ASP Webshell生成工具

第七课-系统学习代码审计：SSTI模板注入

SSTI注入WAF绕过篇

代码审计-Java项目-SSTI模板注入

利用GPT进行代码审计-Beelt模板注入

HackTheBox-Bike

【漏洞复现】（nday）Ecshop两个注入复现

Flask SSTI靶场记录

在线咨询

微信