原文出處:https://xz.aliyun.com/t/2908
顧名思義,服務端模板注入,就是通過在服務端的模板檔案或模板字元串中注入特定的惡意程式碼導致產生程式碼執行的一種漏洞攻擊方式。
不同的模板引擎,根據不同的解析方式相應的也是存在不同的利用方法。
正常而言,出於安全考慮,模板引擎基本上都是擁有沙盒、名稱空間的,程式碼的解析執行都是發生在有限的沙盒裡面,因此,沙盒逃逸也成為 SSTI 不可或缺的存在。
文章圖片來源:https://www.python.org/
前言引用來源:https://xz.aliyun.com/t/2908
-------------------
如果你認同我們每日分享的文章,請幫我們按個讚並且點擊追蹤「搶先看」,讓我們提供最新消息給您!您的分享及點讚,是我們持續推廣資訊安全最大的動力來源。
https://www.facebook.com/LonelyPoPo/