模板注入与_FLASK.pdf

上传者: testvaevv | 上传时间: 2021-08-08 13:00:11 | 文件大小: 4.87MB | 文件类型: PDF
Server Side Template Injection, 服务端模板注入,最初由James Kettle在2015年的黑帽大会上讲解。来自小米安全的安全工程师——Dayeh(呆爷),主要从模版注入Flask方向为大家带来了精彩的分享。 模板注入相较于其他注入,例如xss、sql注入、xml注入等攻击,其本质思想是一致的,服务器端接受了用户的输入,未做验证或过滤便作为模板内容的一部分,在进行模板渲染时候,发生了代码执行。目前有很多模板引擎,都可能存在这样的问题。本次议题结合Flask框架及其使用的Jinja2模板,讲解了模板注入的原理、注入手段和一些绕过方式,以及结合Python沙盒逃逸思路的一些攻击手段,最后针对模板注入漏洞的发现及防御进行了一些讨论。 模板注入基本成因 沙箱逃逸的思路 绕过防御 使用JINJA2沙箱

文件下载

评论信息

免责申明

【只为小站】的资源来自网友分享,仅供学习研究,请务必在下载后24小时内给予删除,不得用于其他任何用途,否则后果自负。基于互联网的特殊性,【只为小站】 无法对用户传输的作品、信息、内容的权属或合法性、合规性、真实性、科学性、完整权、有效性等进行实质审查;无论 【只为小站】 经营者是否已进行审查,用户均应自行承担因其传输的作品、信息、内容而可能或已经产生的侵权或权属纠纷等法律责任。
本站所有资源不代表本站的观点或立场,基于网友分享,根据中国法律《信息网络传播权保护条例》第二十二条之规定,若资源存在侵权或相关问题请联系本站客服人员,zhiweidada#qq.com,请把#换成@,本站将给予最大的支持与配合,做到及时反馈和处理。关于更多版权及免责申明参见 版权及免责申明