2021年6月
SSTI in Flask(未完成) 沙盒逃逸模板引擎让网站实现界面与数据分离,业务代码与逻辑代码的分离,提高了开发效率,但是可能会存在安全问题,模板引擎会提供沙盒机制。在一个代码执行环境下,通过过...
ctfweb安全 96 次阅读
3个月前
[护网杯 2018]easy_tornado&&[WesternCTF2018]shrine [护网杯 2018]easy_tornadotornado是一种web服务器软件的开源版本Tornado模板只是HTML,在标记中嵌入python控制控制序列和...
ctfweb安全 121 次阅读
3个月前
Nginx文件名逻辑漏洞(CVE-2013-4547) 影响范围 0.8.41~1.4.3 & 1.5.0 = 1.5.7 CVE-2013-4547
web安全 206 次阅读
3个月前
XXE(2) 知识点参数实体普通实体: !ENTITY ename text
ctfweb安全 134 次阅读
3个月前
XXE(1) 基础知识xxe漏洞发生在应用程序解析xml输入时,没有禁止外部实体的加载能够读取web服务器的文件系统,通过路径访问文件,或者用http/https连接到任意主...
ctfweb安全 134 次阅读
3个月前