模板引擎 - 第 3 | CN-SEC 中文网

安全文章

【漏洞复现】（nday）Ecshop两个注入复现

0x01 阅读须知SCA御盾实验室的技术文章仅供参考，此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计...

11月25日111 views评论

阅读全文

安全文章

Flask SSTI靶场记录

环境https://www.ctfer.vip/problem/13源码：https://github.com/X3NNY/sstilabs知识点flaskSSTISSTI（Server-Side T...

10月17日33 views评论

阅读全文

CTF专场

【小白教程】CTF从入门到入门-01

签到题 https://ctf.bugku.com/challenges/detail/id/1.html flag{BugKu-Sec-pwn!} 送分题，现实里百分之百不会存在类似题...

06月10日13 views评论

阅读全文

代码审计

PHP代码审计——ThinkPHP基础

一、ThinkPHP概述1. ThinPHP是一个轻量级的PHP框架，旨在提供快速开发Web应用程序的工具和资源。它采用了MVC（Model-View-Controller）架构，使开发人员可以更好地...

05月21日31 views评论

阅读全文

安全漏洞

【漏洞预警】ejs 存在服务器端模板注入漏洞

漏洞描述：EJS 是开源的 JavaScript 模板引擎，允许在HTML代码中使用JavaScript代码块，closeDelimiter 参数是 EJS 模板中的结束标记，用于指定结束分隔符。由于...

05月08日230 views评论

阅读全文

代码审计

Java安全之Thymeleaf模板注入漏洞

Thymeleaf 简介Thymeleaf 是新一代 Java 模板引擎，与 Velocity、FreeMarker 等传统 Java 模板引擎不同，Thymeleaf 支持 HTML 原型，其文件后...

04月19日48 views评论

阅读全文

代码审计

SSTI之细说jinja2的常用构造及利用思路

现在关于ssti注入的文章数不胜数，但大多数是关于各种命令语句的构造语句，且没有根据版本、过滤等具体细分，导致读者可能有一种千篇一律的感觉。所以最近详细整理了一些SSTI常用的payload、利用思路...

03月30日64 views评论

阅读全文

代码审计

Twig模板引擎注入

Twig模板注入：我们依然用上次那个图片来看一下：今天我们就来学习一下Twig模板引擎的注入：（网上的师傅写的很不错，结合了两三个来学习学习）Twig模板基础语法：变量：应用程序将变量传入模板中进行处...

03月21日52 views评论

阅读全文

安全文章

详解Flask框架SSTI攻击的利用与绕过技巧

Flask是一个使用 Python 编写的轻量级 Web 应用框架。其 WSGI 工具箱采用 Werkzeug ，模板引擎则使用 Jinja2 。Flask使用 BSD 授权。Flask也被称为 “m...

03月06日84 views评论

阅读全文

安全文章

服务器端模板注入（SSTI）-攻击示例（三）

在本节中，将更仔细地研究一些典型的服务器端模板注入漏洞，并演示如何来利用它们。通过实践，可以潜在的发现并利用各种不同的服务器端模板注入漏洞。一旦发现了服务器端模板注入漏洞，并确定了正在使用的模板引擎，...

12月31日22 views评论

阅读全文

安全文章

服务器端模板注入（SSTI）-攻击示例（一）

12月24日46 views评论

阅读全文

安全文章

服务器端模板注入（SSTI）-如何构建攻击

在本节中，将讨论什么是服务器端模板注入，并概述利用服务器端模板注入漏洞的基本方法。另外还将提出一些方法，确保模板的使用不会暴露在服务器端模板注入中。如何构建一个服务器端模板注入攻击？识别服务器端模板注...

12月21日58 views评论

阅读全文

【漏洞复现】（nday）Ecshop两个注入复现

Flask SSTI靶场记录

【小白教程】CTF从入门到入门-01

PHP代码审计——ThinkPHP基础

【漏洞预警】ejs 存在服务器端模板注入漏洞

Java安全之Thymeleaf模板注入漏洞

SSTI之细说jinja2的常用构造及利用思路

Twig模板引擎注入

详解Flask框架SSTI攻击的利用与绕过技巧

服务器端模板注入（SSTI）-攻击示例（三）

服务器端模板注入（SSTI）-攻击示例（一）

服务器端模板注入（SSTI）-如何构建攻击

在线咨询

微信