SSTI技巧拓展
关注
分享
扫一扫
SSTI技巧拓展
FLy_鹏程万里
国内网络安全研究员,专注于Web渗透、移动安全、代码审计、应急响应、内网渗透、区块链安全、云安全等研究方向,擅长渗透测试、红蓝对抗、内网渗透、云安全、区块链安全。
展开
-
【SSTL技巧拓展】————2、服务端注入之Flask框架中服务端模板注入问题
严正声明:本文仅限于技术讨论与学术学习研究之用,严禁用于其他用途(特别是非法用途,比如非授权攻击之类),否则自行承担后果,一切与作者和平台无关,如有发现不妥之处,请及时联系作者和平台。 0×00. 前言 Flask 是python语言编写的轻量级的MVC (也可以称为MTV, T: Template)框架 具体详见:http://docs.jinkan.org/docs/flask/ 对...转载 2019-01-28 14:20:40 · 868 阅读 · 0 评论 -
【SSTL技巧拓展】————1、服务端模板注入攻击 (SSTI)之浅析
在今年的黑帽大会上 James Kettle 讲解了《Server-Side Template Injection: RCE for the modern webapp》,从服务端模板注入的形成到检测,再到验证和利用都进行了详细的介绍。本文在理解原文内容的基础上,结合更为具体的示例对服务端模板注入的原理和扫描检测方法做一个浅析。 一、模板注入与常见Web注入 就注入类型的漏洞来说,常见 Web...转载 2019-01-28 14:20:35 · 1263 阅读 · 1 评论