模板注入 - 第 2 | CN-SEC 中文网

安全文章

九维团队-绿队（改进）| JAVA安全SSTI（模板注入）漏洞

前言 SSTI（Server-Side Template Injection）漏洞，也被称为模板注入漏洞。SSTI漏洞是一种在服务器端模板引擎中注入恶意代码的攻击方式。攻击者通过注入可执行代码，可以在...

11月06日26 views评论

阅读全文

代码审计

JAVA安全之FreeMark模板注入刨析

文章前言关于FreeMark模板注入注入之前一直缺乏一个系统性的学习和整理，搜索网上大多数类似的内容都是一些关于漏洞利用的复现，对于载荷的构造、执行过程、防御措施等并没有详细的流程分析，于是乎只能自己...

10月25日15 views评论

阅读全文

代码审计

JAVA代审-JPress_V4.2

免责声明由于传播、利用本公众号菜狗安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号菜狗安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，会立即删除...

10月24日37 views评论

阅读全文

安全文章

flask ssti 模板注入

获网安教程免费&进群本文由掌控安全学院-s_s投稿0x01:flask是基于python开发的一个轻量级web应用，可以用来搭建web环境。安装flask框架命令：pip install ...

10月18日10 views评论

阅读全文

安全开发

JAVA安全之Thymeleaf模板注入检测再探

文章前言从之前的文章中我们分析后发现Thymeleaf 3.0.15版本中只要检测到"{"就会认为存在表达式内容，随后直接抛出异常停止解析来防范模板注入问题，此类场景用于我们URL PATH、Retr...

10月18日12 views评论

阅读全文

代码审计

JAVA安全之Thymeleaf模板注入防护绕过

文章前言若依CMS中使用到了Thymeleaf模板引擎且存在模板注入可控点，但是在漏洞测试过程中发现常规的通用载荷并不生效，遂对其进行调试分析，最后发现是和Thymeleaf版本有莫大的关系，其中3....

10月12日30 views评论

阅读全文

安全漏洞

CVE-2023-4450：jeecgboot积木报表系统模板注入远程代码执行附完整复现过程

简介jeecgboot积木报表系统jimureport(jmreport)是一款免费的数据可视化报表，含报表和大屏设计，像搭建积木一样在线设计报表！功能涵盖数据报表、打印设计、图表报表、大屏设计等！官...

10月07日127 views评论

阅读全文

安全文章

go_ssti风险

简介这篇文章中，主要讲解Go场景下SSTI风险环境记录详见下文具体代码从SSTI开始SSTI（Server-Side Template Injection，服务端模板注入）是一种Web应用漏洞，发生在...

10月07日15 views评论

阅读全文

安全文章

Thymeleaf模板注入还能打吗？

拍摄于:烟台大学小树林Thymeleaf模板注入最近在研究代码审计，顺便学到了Thymeleaf模板注入本文主要分析Thymeleaf模板注入的利用和修复，以及各版本的修复方式和绕过方式Html文件利...

09月01日95 views评论

阅读全文

安全博客

ThinkCMF 前台模板注入 RCE

概述ThinkCMF 是一款基于 PHP+MYSQL 开发的中文内容管理框架，底层采用 ThinkPHP3.2.3 构建。远程攻击者在无需任何权限情况下，通过构造特定的请求包即可在远程服务器上执行任意...

08月18日19 views评论

阅读全文

代码审计

第十二课-系统学习代码审计：代码审计实战2-ofcms审计思路和演示

收费是因为我如果把群二维码放出来，会有些广告自动进群发广告，1元是公众号的最低限制，本来想搞个0.1呢，本篇只有群号需要付费。视频地址：https://space.bilibili.com/4828...

08月07日36 views评论

阅读全文

安全文章

[Hacker101靶场] HackyholidaysCTF-2[moderate]

本文章仅用于网络安全研究学习，请勿使用相关技术进行违法犯罪活动。简介：Hacker101是世界上最大的赏金猎人网站Hackerone的教程靶场。知识点：模板注入、信息收集、不一样的sql盲注。注：计划...

08月05日23 views评论

阅读全文

九维团队-绿队（改进）| JAVA安全SSTI（模板注入）漏洞

JAVA安全之FreeMark模板注入刨析

JAVA代审-JPress_V4.2

flask ssti 模板注入

JAVA安全之Thymeleaf模板注入检测再探

JAVA安全之Thymeleaf模板注入防护绕过

CVE-2023-4450：jeecgboot积木报表系统模板注入远程代码执行附完整复现过程

go_ssti风险

Thymeleaf模板注入还能打吗？

ThinkCMF 前台模板注入 RCE

第十二课-系统学习代码审计：代码审计实战2-ofcms审计思路和演示

[Hacker101靶场] HackyholidaysCTF-2[moderate]

在线咨询

微信