flask - 第 3 | CN-SEC 中文网

安全开发

Flask开发安全指南

关注并星标🌟 一起学安全❤️作者：coleak 首发于公号：渗透测试安全攻防字数：97250声明：仅供学习参考，请勿用作违法用途目录前记Flaskescape|safesecure_filenam...

01月12日14 views评论

阅读全文

安全工具

BurpSuite插件之autoDecoder

本文首发于先知社区：https://xz.aliyun.com/t/16564 前言在我们进行渗透测试的过程中，往往会遇到数据包、响应包是加密的情况。如果选择放弃，就失去了一次可能渗透成功的机会。不...

01月12日52 views评论

阅读全文

代码审计

SSTI模板注入漏洞详解（附一键getshell工具）

01.简介什么是SSTI： SSTI漏洞的全称是服务器端模板注入（Server-Side Template Injection）漏洞。这是一种在服务器端模板引擎中注入恶意代码的攻击方式...

01月02日330 views评论

阅读全文

安全文章

Jinjia2-SSTI响应头外带数据分享

本文由掌控安全学院 - fupanc 投稿来Track安全社区投稿~ 千元稿费！还有保底奖励~（https://bbs.zkaq.cn） Jinjia2-SSTI响应头带数据这个利用方式比较新...

12月26日39 views评论

阅读全文

安全文章

记录一次RCE无回显突破内网隔离

在攻防演练的时候常常遇到无回显的情况，怎么办呢？你还在用DNSLog外带内容？还是在用文件写入Web访问读取？在某次攻防演练我遇到了一个无回显的漏洞，DNSLog外带也不是很好用啊，无奈只能自己研究了...

12月22日31 views评论

阅读全文

代码审计

对ssti无回显的新版内存马学习

昨天打国赛遇见一个无回显ssti的题目，顺便学习了一下源码：fromflaskimportFlask,request,render_template_stringimportsocketimportt...

12月20日33 views评论

阅读全文

CTF专场

第十八届信息安全大赛 && 第二届长城杯

前言本文首发于先知社区： https://xz.aliyun.com/t/16759 web部分wp Safe_Proxy 开始就可以看到源码自己本地搭建一个，并修改下代码，让他变成可以看到回显的...

12月18日29 views评论

阅读全文

安全文章

通过 JAAS 进行 Databricks JDBC 攻击

背景故事昨天，收到了有关 Databricks JDBC 驱动程序的威胁情报警报。经过快速检查，我找到了问题的根本原因。该漏洞源于对 krbJAASFile 参数的不当处理。攻击者可以利用此漏洞在驱动...

12月17日15 views评论

阅读全文

安全工具

burpsuite数据包自动加解密插件，autoDecoder详细安装+使用

本文首发于先知社区： https://xz.aliyun.com/t/16564前言在我们进行渗透测试的过程中，往往会遇到数据包、响应包是加密的情况。如果选择放弃，就失去了一次可能渗透成功的机会。不过...

12月10日77 views评论

阅读全文

安全文章

Flask-SSTI复现

前言模板注入是一种web应用程序中的安全漏洞，攻击者可以通过在应用程序中使用特定的模板语言来注入恶意代码。模板注入攻击通常是针对使用模板引擎的web应用程序，例如Django、Flask、...

11月11日16 views评论

阅读全文

安全工具

第八届强网杯全国网络安全挑战赛 WriteUp

我们新点击蓝字关注我们声明本文作者：CTF战队本文字数：47064字阅读时长：约60分钟附件/链接：点击查看原文下载本文属于【狼组安全社区】原创奖励计划，未经许可禁止转载由于传播、利用此文所提供的信息...

11月04日137 views评论

阅读全文

Flask开发安全指南

BurpSuite插件之autoDecoder

SSTI模板注入漏洞详解（附一键getshell工具）

Jinjia2-SSTI响应头外带数据分享

记录一次RCE无回显突破内网隔离

对ssti无回显的新版内存马学习

第十八届信息安全大赛 && 第二届长城杯

通过 JAAS 进行 Databricks JDBC 攻击

burpsuite数据包自动加解密插件，autoDecoder详细安装+使用

Flask-SSTI复现

推荐一款src资产管理系统

第八届强网杯全国网络安全挑战赛 WriteUp

在线咨询

微信