模板引擎 - 第 4 | CN-SEC 中文网

安全文章

服务器端模板注入（SSTI）-概念梳理

在本节中，将讨论什么是服务器端模板注入，并概述利用服务器端模板注入漏洞的基本方法。另外还将提出一些方法，确保模板的使用不会暴露在服务器端模板注入中。什么是服务器端模板注入？服务器端末班注入是指攻击者能...

12月17日48 views评论

阅读全文

代码审计

干货 | Python_SSTI模块注入

点击蓝字关注我们温馨提示:本文篇幅较长,推荐关注后收藏根据目录多次观看一、python_SSTI 模板注入介绍ssti 漏洞成因模板引擎什么是服务端模板注入flask 环境本地搭建 (略详)route...

09月27日28 views评论

阅读全文

安全文章

一文了解SSTI和所有常见payload 以flask模板为例

一文了解SSTI和所有常见payload 以flask模板为例前言做的ctf题里有好几道跟SSTI有关故对SSTI进行学习在此做个小结与记录主要是flask模板后面遇到别的模板再陆续记录1、什么是SS...

08月28日86 views评论

阅读全文

安全文章

干货 | SSTI漏洞利用总结

原文地址：https://www.k0rz3n.com/2018/11/12/%E4%B8%80%E7%AF%87%E6%96%87%E7%AB%A0%E5%B8%A6%E4%BD%A0%E7%90%...

08月27日54 views评论

阅读全文

安全文章

从0到1完全掌握SSTI

从0到1完全掌握-SSTISSTI 的这张图，异常生动，师傅们可以看看0x01 前言网上部分文章全是翻译没有自己的理解，打算自己写一篇。最早看到 ssti，是在 Python Flask 那儿，最近打...

05月07日62 views评论

阅读全文

安全文章

Smarty 模板注入与沙箱逃逸

前言Smarty 模板是基于 PHP 开发的模板，我们可以利用 Smarty 实现程序逻辑与页面显示（HTML/CSS）代码分离的功能。模板引擎中花哨的功能导致了模板注入的出现，也就是SSTI。但是在...

04月20日53 views评论

阅读全文

安全开发

python沙箱逃逸之基于flask，jinja2模板的SSTI注入

皮蛋厂的学习日记系列为山东警察学院网安社成员日常学习分享，希望能与大家共同学习、共同进步~ 2021级 Will1am|python沙箱逃逸之基于flask，jinja2模板的SSTI注入前言 SS...

04月09日16 views评论

阅读全文

代码审计

皮蛋厂的学习日记 2022.03.03 JAVA反序列化之 RMI a 不同模板引擎的SSTI（上）

皮蛋厂的学习日记系列为山东警察学院网安社成员日常学习分享，希望能与大家共同学习、共同进步~2020级 sp4c1ous | JAVA反序列化之 RMI前置知识攻击小结2020级 AndyNoel | ...

03月04日141 views评论

阅读全文

安全文章

Nodejs Squirrelly 模板引擎 RCE（CVE-2021-32819）漏洞分析

文章首发于先知社区作者：WHOAMI漏洞概述漏洞复现环境搭建漏洞验证漏洞分析renderFilegetConfigtryHandleCachehandleCachecompilecompileToSt...

12月22日343 views评论

阅读全文

安全闲碎

【技术分享】SSTI漏洞学习(上)——基础知识和一些不常见的模板引擎介绍

SSTI简介MVCMVC是一种框架型模式，全名是Model View Controller。即模型(model)－视图(view)－控制器(controller)在MVC的指导下开发中用一...

12月16日115 views评论

阅读全文

服务器端模板注入（SSTI）-概念梳理

干货 | Python_SSTI模块注入

一文了解SSTI和所有常见payload 以flask模板为例

干货 | SSTI漏洞利用总结

从0到1完全掌握SSTI

Smarty 模板注入与沙箱逃逸

python沙箱逃逸之基于flask，jinja2模板的SSTI注入

皮蛋厂的学习日记 2022.03.03 JAVA反序列化之 RMI a 不同模板引擎的SSTI（上）

Nodejs Squirrelly 模板引擎 RCE（CVE-2021-32819）漏洞分析

【技术分享】SSTI漏洞学习(上)——基础知识和一些不常见的模板引擎介绍

在线咨询

微信