web安全
文章平均质量分 96
Micr067
这个作者很懒,什么都没留下…
展开
-
SSTI-服务端模板注入漏洞
原理:服务端模板注入与SQL注入的成因一样,也是服务端接收了用户的输入,将其作为 Web 应用模板内容的一部分,在进行目标编译渲染的过程中,执行了用户插入的恶意内容,因而可能导致了敏感信息泄露、代码执行、GetShell 等问题。其影响范围主要取决于模版引擎的复杂性。模板引擎模板引擎(这里特指用于Web开发的模板引擎)是为了使用户界面与业务数据(内容)分离而产生的,它可以生成特定格式的文档,用于网站的模板引擎就会生成一个标准的HTML文档。参考:https://baike.baidu.co.原创 2020-06-25 20:32:06 · 1321 阅读 · 0 评论 -
命令注入绕过技巧总结
命令注入绕过技巧总结命令注入是一个安全漏洞,它使攻击者可以在易受攻击的应用程序中执行任意命令。基本命令root@micr067:~# cat /etc/passwdroot:x:0:0:root:/root:/bin/bashdaemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologinbin:x:2:2:bin:/bin:/usr/sbin...原创 2020-05-05 11:18:39 · 3476 阅读 · 0 评论