来自公众号:Python大数据分析1 简介说起Python的包管理工具,大家第一时间想到的肯定是pip、conda等经典工具。但最近我发现了一款新颖的Python包管理工具——pdm,它受到PEP58...
Python模板注入(SSTI)深入学习
前言一直对模板注入似懂非懂的,打算在这篇文章中深入的研究一下模板注入以及在ctf中bypass的办法。Learning什么是模板&模板注入小学的时候拿别人的好词好句,套在我们自己的作文里,此时...
Flask debug模式下的PIN码安全性
首发于先知社区https://xz.aliyun.com/t/8092 一、概述Flask 如果在生产环境中开启 debug模式,就会产生一个交互的shell,可以执行自定义的 python 代码。在...
Flask Debug PIN安全问题
Flask在生产环境中开启Debug模式,存在交互式Python shell可以执行自定义Python代码。 在旧版本的Flask中是不需要输入PIN码认证就可以执行代码,在新版本的Flask中需要输...
python中常见的漏洞
比较少接触python的网站,要多花点时间来学习一下。 format注入详细可看:http://www.venenof.com/index.php/archives/360/flask为例 12345...
flask的session问题
Flask的session是存储在客户端的(可以通过HTTP请求头Cookie字段的session获取),Flask只对数据进行了签名(防篡改)没有进行加密,session的全部内容都是可以在客户端读...
从一道题看jinja2过滤器在flask模板注入的用处 - 东大村的猹
题目来源是2020年DASCTF 8月赛 ,通过这道题好好学习到了一些python jinja2 ssti的姿势。当时没做出来,后来参考颖奇师傅的博客做的。 链接:https://www.gem-lo...
长安杯CTF-writeup
ezpy #app.py from flask import Flask, request, render_template, render_template_string, make_respons...
Flask/Jinja 模板注入
0x00最近看了国外几篇关于模板注入的文章, 自己也在这里加上自己的一些东西总结一下. Server-Side Template Injection — James Kettle Exploring ...
Flask debug 模式下的 PIN 码安全性分析
本文首发于先知社区,点击原文链接可查看原文一、概述 Flask 在生产环境中开启 debug 模式,输入正...
SSTI多种模版注入
当用户的输入数据没有被合理的处理控制时,就有可能数据插入了程序段中变成了程序的一部分,从而改变了程序的执行逻辑。
微软太良心了,来试试免费服务器搭建 Python 网站
“ 阅读本文大概需要 3 分钟。 ”有时候,我们使用 Flask 或者 Django 写了一个简单的网页,想把它部署起来给所有人使用,但是又没有服务器。这个时候,除了买一台云服务外,我们还可以使用微软...
10