模板注入 | CN-SEC 中文网

安全文章

探索SSTI漏洞：模板注入原理与绕过方法|挖洞技巧

0x01 前言模板注入（SSTI）是Web安全中常被忽视的高危漏洞，常见于Flask、ThinkPHP、Spring等基于MVC架构的框架。当用户输入未经验证直接传入模板引擎时，攻击者可通过构造恶意参...

03月17日19 views评论

阅读全文

安全文章

SSTI模板注入与XXE注入漏洞的挖掘和利用

点击上方蓝字关注格物安全SSTI模板注入挖掘和利用当我使用nmap对网站的端口和服务进行扫描的时候发现9999端口开放的web服务用的是Tornado框架。 Tornad...

02月25日24 views评论

阅读全文

安全文章

一次普通的渗透测试

之前的一个案例，虽然最终结果并没有100%完成，不过也算是比较满意，过程中的一些小思路分享给大家。目标是一个跨境的电商站。得到目标后先进行了常规的信息收集，得到以下可用信息：主站域名存在CD...

02月25日10 views评论

阅读全文

安全漏洞

Craft CMS register_argc_argv 致模板注入代码执行漏洞（CVE-2024-56145）

漏洞描述:Craft CMS是一个灵活、用户友好的内容管理系统，用于创建自定义的数字化网络体验等,CVE-2024-56145中,若开启了PHP配置中的 register_argc_argv,那么攻击...

12月31日26 views评论

阅读全文

代码审计

Java 安全 | Thymeleaf 模板注入原理分析

Thymeleaf 模板注入原理分析前言本次记载 Thymeleaf 版本 <= 3.0.14 下的攻击手法, 当然 3.0.15 也有洞, 但利用方式变了, 故不记载.声明：文中涉及到的技术和...

12月29日19 views评论

阅读全文

代码审计

JAVA安全-模板注入-FreeMarker

点击上方蓝字·关注我们免责声明由于传播、利用本公众号菜狗安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号菜狗安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵...

12月28日24 views评论

阅读全文

安全漏洞

【新day】CVE-2024-56145（Craft CMS 模板注入导致 RCE）

绪论如果各位师傅觉得有用的话，可以给我点个关注~~ 如果师傅们有什么好的建议也欢迎联系我~~ 感谢各位师傅的支持~~正文部分漏洞详情Craft 是一种灵活、用户友好的 CMS，用于在 Web 及其他方...

12月22日114 views评论

阅读全文

安全文章

利用服务器端模板注入攻击

点击蓝字关注我们始于理论，源于实践，终于实战老付话安全，每天一点点激情永无限，进步看得见严正声明本号所写文章方法和工具只用于学习和交流，严禁使用文章所述内容中的方法未经许可的情况下对生产系统进行方法验...

12月11日11 views评论

阅读全文

代码审计

JAVA安全-模板注入-Thymeleaf

12月09日14 views评论

阅读全文

安全文章

Flask-SSTI复现

前言模板注入是一种web应用程序中的安全漏洞，攻击者可以通过在应用程序中使用特定的模板语言来注入恶意代码。模板注入攻击通常是针对使用模板引擎的web应用程序，例如Django、Flask、...

11月11日10 views评论

阅读全文

安全文章

Thymeleaf模板注入详细分析

Thymeleaf的SSTI介绍Thymeleaf 是一个流行的 Java Web 视图模板引擎，可以方便地将数据和 HTML 模板结合起来生成网页。但是在使用 Thymeleaf 的过程中，如果没有...

11月11日6 views评论

阅读全文

安全文章

九维团队-绿队（改进）| JAVA安全SSTI（模板注入）漏洞

前言 SSTI（Server-Side Template Injection）漏洞，也被称为模板注入漏洞。SSTI漏洞是一种在服务器端模板引擎中注入恶意代码的攻击方式。攻击者通过注入可执行代码，可以在...

11月06日19 views评论

阅读全文

探索SSTI漏洞：模板注入原理与绕过方法|挖洞技巧

SSTI模板注入与XXE注入漏洞的挖掘和利用

一次普通的渗透测试

Craft CMS register_argc_argv 致模板注入代码执行漏洞（CVE-2024-56145）

Java 安全 | Thymeleaf 模板注入原理分析

JAVA安全-模板注入-FreeMarker

【新day】CVE-2024-56145（Craft CMS 模板注入导致 RCE）

利用服务器端模板注入攻击

JAVA安全-模板注入-Thymeleaf

Flask-SSTI复现

Thymeleaf模板注入详细分析

九维团队-绿队（改进）| JAVA安全SSTI（模板注入）漏洞

在线咨询

微信