攻防世界CTF Web_python_template_injection
记录模块注入学习过程
题目:Web_python_template_injection提醒是模块注入
在Jinja2模板引擎中,{{}}是变量包裹标识符。{{}}并不仅仅可以传递变量,还可以执行一些简单的表达式。
模块注入测试:
网址输入“{{1*21}}”页面显示21,说面存在“SSTI”
在其他大佬的博客中收集的相关知识:
SSTI也是获取了一个输入,然后再后端的渲染处理上进行了语句的拼接,然后执行。当然还是和sql注入有所不同的,SSTI利用的是现在的网站模板引擎(下面会提到),主要针对pyt
原创
2022-02-15 15:47:28 ·
3661 阅读 ·
0 评论