模版注入 | CN-SEC 中文网

安全文章

服务器端模版注入SSTI分析与归纳

0x00 背景本文针对基于java的三种常见的模版引擎(FreeMarker、Velocity、Thymeleaf)所引起的服务端模版注入漏洞SSTI进行分析、整理和总结。所谓模版引擎，简单来讲就是...

02月25日17 views评论

安全漏洞

光阴似箭，我好像追不上！Time flies like an arrow, and I feel like I can't keep up!很久没有关注最近出现的新漏洞了，这两天居然看见24年初con...

06月28日24 views评论

安全文章

前言此次是简单的分析过程，主要用于困难环境下使用手动进行分析，在根据实际情况对相关的文档进行恶意分析！那么在智能沙箱的情况下，几乎这些手动的行为都被忽略了，所以会一些手动技巧也是巩固自身的知识，不依赖...

04月22日21 views评论

代码审计

经常会遇到jwt secret硬编码导致的权限绕过，本项目可以通过jwt权限绕过+模版注入rcejwt伪造fastcms-v0.1.5-release/web/src/main/resources/a...

02月19日55 views评论

代码审计

前言前段时间我是写过一篇SpringMvc的分发流程的。漏洞复现首先我们来复现一下这个漏洞我这里的环境是Springboot的2.2.0版本。<groupId>org.springfram...

12月25日33 views评论