歡迎光臨
我們一直在努力

Python中從服務端模板注入到沙盒逃逸的源碼探索

原文出處:https://xz.aliyun.com/t/2908

顧名思義,服務端模板注入,就是通過在服務端的模板檔案或模板字元串中注入特定的惡意程式碼導致產生程式碼執行的一種漏洞攻擊方式。

不同的模板引擎,根據不同的解析方式相應的也是存在不同的利用方法。

正常而言,出於安全考慮,模板引擎基本上都是擁有沙盒、名稱空間的,程式碼的解析執行都是發生在有限的沙盒裡面,因此,沙盒逃逸也成為 SSTI 不可或缺的存在。

文章圖片來源:https://www.python.org/
前言引用來源:https://xz.aliyun.com/t/2908

-------------------
如果你認同我們每日分享的文章,請幫我們按個讚並且點擊追蹤「搶先看」,讓我們提供最新消息給您!您的分享及點讚,是我們持續推廣資訊安全最大的動力來源。
https://www.facebook.com/LonelyPoPo/

贊(0) 打賞
轉載請附上作者連結:波波的寂寞世界 » Python中從服務端模板注入到沙盒逃逸的源碼探索

波波的寂寞世界

Facebook聯繫我們

覺得文章有用,請作者喝杯咖啡

掃一掃打賞作者狗糧