flask - 第 5 | CN-SEC 中文网

CTF专场

2024巅峰极客挑战赛-初赛Write up

WebEncirclingGame直接玩，游戏很简单一分钟搞定：GoldenHornKingssti但是没回显，正好这两天分析python各个框架内存马，直接上个fastapi内存马即可。import...

08月19日74 views评论

阅读全文

安全开发

使用uWSGI在生产环境下部署Flask服务

之前搞的小程序后端服务是Flask写的，然后投产实际使用中，采用的是Nginx+uWSGI+Flask的架构，简单记录下配置过程uWSGIuWSGI是一个应用服务器，它是生产上常用的处理高并发问题的中...

08月18日19 views评论

阅读全文

安全博客

flask之ssti模板注入

以前做题学过一些ssti，但是感觉不够深入，整理一下，算个总结吧漏洞介绍ssti，服务器端模板注入，主要是python或者其他语言在渲染模板的时候，由于代码不规范或者信任了用户的输入，使得模板可控。...

08月18日5 views评论

阅读全文

Flask debug mode PIN code generation mechanism security research notes

OthersThe article was first published in:https://zhuanlan.zhihu.com/p/32336971 - source:tonghuaroot....

08月14日安全博客10 views评论

阅读全文

安全工具

Aardvark：一个针对多账户AWS IAM访问与身份管理的API框架

关于Aardvark Aardvark是一个针对多账户AWS IAM访问与身份管理的API框架和缓存层，该工具可以帮助广大研究人员在一个平台下轻松管理多个AWS账号的IAM安全。工具要...

08月04日14 views评论

阅读全文

安全文章

Flask之session伪造

前言这篇文章其实是以前在自己博客上面写的，现在腾过来，比较简单，大师傅们略过就好。写这篇文章也是想给新人们提供一些思路，session伪造的题目CTF中还是比较常见的，并且如果存在于真实环境中对企业...

07月15日24 views评论

阅读全文

安全文章

Python Web内存马多框架植入技术详解

一前言内存马作为一种常见的攻击与权限维持手段，往往多见于Java Web应用中，然而在Python Web场景下却并不多见这种攻击。本文将针对Flask、Tornado与Django三个在日常开发...

07月10日25 views评论

阅读全文

安全文章

mallox勒索软件溯源反制思路

概述近期又遇到了几起windows下的mallox勒索的事件，攻击者都是通过MS-SQL攻击进来的，各位注意一下不要再把不必要的MS-SQL开放在公网上了。同时有国外公司在这几天捕获到mallox勒索...

07月05日40 views评论

阅读全文

CTF专场

CISCN华东北 2024 比赛题解

声明本文作者：CTF战队-xia0le 本文字数：约6800字阅读时长：约18分钟附件/链接：点击查看原文下载本文属于【狼组安全社区】原创奖励计划，未经许可禁止转载由于传播、利用此文所提供的...

06月27日39 views评论

阅读全文

安全闲碎

RDG防御指南（例题及方法）

AI生成：这篇文章总结了常见Web服务的关键目录和一些典型的安全问题及其解决方案。例如，通过Flask-Login模块的用户认证，只允许管理员访问敏感文件夹；在发现金融系统中存在后门时，通过识别和删除...

06月21日74 views评论

阅读全文

CTF专场

CTF-Web_RCE的出题思路

1.概要这是一个基于远程代码执行（RCE）漏洞的CTF题目，选手需要通过编写Python脚本，利用漏洞获取管理员的敏感信息，获取flag。2.远程代码执行（RCE）远程代码执行（Remote Code...

06月13日77 views评论

阅读全文

安全文章

SSTI注入WAF绕过篇

本文由掌控安全学院 - 我是大白投稿什么是SSTI SSTI，其中文名为服务端模板注入。首先我们需要先了解一下：什么是模板引擎？模板引擎是为了使用户界面与业务数据分离而产生，它可以生成特定格...

06月03日24 views评论

阅读全文