flask - 第 2 | CN-SEC 中文网

CTF专场

赛题记录 | 2025西湖论剑两道WEB的一些思考

赛题记录 | 2025西湖论剑两道WEB的一些思考例题1: Python SSTI目标站点存在 SSTI, 通过命令执行, 拿到源码如下:from flask import Flask, reques...

01月19日21 views评论

阅读全文

安全闲碎

Windows环境部署flask生产环境

点击蓝字 / 关注我们很久没写代码了，鬼迷心窍用python写，有点小麻烦，部署、favicon映射、静态文件读取等问题，其实这个东西写起来很简单。最近看到以前hostloc论坛一个用户的小项目，文件...

01月13日8 views评论

阅读全文

安全开发

Flask开发安全指南

关注并星标🌟 一起学安全❤️作者：coleak 首发于公号：渗透测试安全攻防字数：97250声明：仅供学习参考，请勿用作违法用途目录前记Flaskescape|safesecure_filenam...

01月12日11 views评论

阅读全文

安全工具

BurpSuite插件之autoDecoder

本文首发于先知社区：https://xz.aliyun.com/t/16564 前言在我们进行渗透测试的过程中，往往会遇到数据包、响应包是加密的情况。如果选择放弃，就失去了一次可能渗透成功的机会。不...

01月12日38 views评论

阅读全文

代码审计

SSTI模板注入漏洞详解（附一键getshell工具）

01.简介什么是SSTI： SSTI漏洞的全称是服务器端模板注入（Server-Side Template Injection）漏洞。这是一种在服务器端模板引擎中注入恶意代码的攻击方式...

01月02日196 views评论

阅读全文

安全文章

Jinjia2-SSTI响应头外带数据分享

本文由掌控安全学院 - fupanc 投稿来Track安全社区投稿~ 千元稿费！还有保底奖励~（https://bbs.zkaq.cn） Jinjia2-SSTI响应头带数据这个利用方式比较新...

12月26日22 views评论

阅读全文

安全文章

记录一次RCE无回显突破内网隔离

在攻防演练的时候常常遇到无回显的情况，怎么办呢？你还在用DNSLog外带内容？还是在用文件写入Web访问读取？在某次攻防演练我遇到了一个无回显的漏洞，DNSLog外带也不是很好用啊，无奈只能自己研究了...

12月22日25 views评论

阅读全文

代码审计

对ssti无回显的新版内存马学习

昨天打国赛遇见一个无回显ssti的题目，顺便学习了一下源码：fromflaskimportFlask,request,render_template_stringimportsocketimportt...

12月20日6 views评论

阅读全文

CTF专场

第十八届信息安全大赛 && 第二届长城杯

前言本文首发于先知社区： https://xz.aliyun.com/t/16759 web部分wp Safe_Proxy 开始就可以看到源码自己本地搭建一个，并修改下代码，让他变成可以看到回显的...

12月18日20 views评论

阅读全文

安全文章

通过 JAAS 进行 Databricks JDBC 攻击

背景故事昨天，收到了有关 Databricks JDBC 驱动程序的威胁情报警报。经过快速检查，我找到了问题的根本原因。该漏洞源于对 krbJAASFile 参数的不当处理。攻击者可以利用此漏洞在驱动...

12月17日10 views评论

阅读全文

安全工具

burpsuite数据包自动加解密插件，autoDecoder详细安装+使用

本文首发于先知社区： https://xz.aliyun.com/t/16564前言在我们进行渗透测试的过程中，往往会遇到数据包、响应包是加密的情况。如果选择放弃，就失去了一次可能渗透成功的机会。不过...

12月10日57 views评论

阅读全文

安全文章

Flask-SSTI复现

前言模板注入是一种web应用程序中的安全漏洞，攻击者可以通过在应用程序中使用特定的模板语言来注入恶意代码。模板注入攻击通常是针对使用模板引擎的web应用程序，例如Django、Flask、...

11月11日10 views评论

阅读全文

赛题记录 | 2025西湖论剑两道WEB的一些思考

Windows环境部署flask生产环境

Flask开发安全指南

BurpSuite插件之autoDecoder

SSTI模板注入漏洞详解（附一键getshell工具）

Jinjia2-SSTI响应头外带数据分享

记录一次RCE无回显突破内网隔离

对ssti无回显的新版内存马学习

第十八届信息安全大赛 && 第二届长城杯

通过 JAAS 进行 Databricks JDBC 攻击

burpsuite数据包自动加解密插件，autoDecoder详细安装+使用

Flask-SSTI复现

在线咨询

微信