- 博客(2)
- 收藏
- 关注
原创 服务器模板注入 SSTI
new()等模板中,对于部分在Java中实现的FTL库很重要,但在普通模板中不需要。也许最简单的初始方法是尝试通过注入模板表达式中常用的特殊字符序列(如 .如果引发异常,则表示服务器可能以某种方式解释注入的模板语法。如果这再次导致错误或空白输出,则您使用了错误的模板语言的语法,或者,如果没有模板样式语法似乎有效,则无法进行服务器端模板注入。通常,您不应允许这样做,除非这些用户是系统管理员或其他受信任的人员。在其他情况下,漏洞是通过将用户输入放置在模板表达式中暴露的,正如我们之前在电子邮件示例中看到的那样。
2023-07-14 10:52:40 290
原创 WEB安全之XXE实体注入
XML代表“可扩展标记语言”。XML 是一种设计用于存储和传输数据的语言。与 HTML 一样,XML 使用标记和数据的树状结构。与 HTML 不同,XML 不使用预定义的标记,因此可以为标记指定描述数据的名称。在Web历史的早期,XML作为一种数据传输格式很流行(“AJAX”中的“X”代表“XML”)。但它的受欢迎程度现在已经下降,取而代之的是JSON格式。XML 实体是一种表示 XML 文档中数据项的方法,而不是使用数据本身。各种实体内置于 XML 语言的规范中。
2023-07-12 17:29:41 121 1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人