超级会员免费看
本文详细介绍了Flask应用中Jinja2模板引擎的服务器端模板注入(SSTI)漏洞,包括漏洞概述、影响范围、漏洞等级、复现步骤、漏洞原理和修复建议。内容涵盖了如何利用Vulhub_docker搭建环境,通过Payload演示漏洞利用,以及分析payload和源码以揭示漏洞成因。修复方案包括改进模板渲染方式以防止注入。
目录
1.漏洞概述
服务器模板注入(SSTI)是一种利用公共 Web框架的服务器端模板作为攻击媒介的攻击方式,该攻击利用了嵌入模板的用户输入方式的弱点。SSTI攻击可以利用拼接恶意用户输入导致各种漏洞。通过模板,Web应用可以把输入转换成特定的HTML文件或者email格式。
2.影响范围
使用Flask框架开发并且使用Jinja2模板引擎,最重要的是模板内容可控。满足该条件的Flask模块中几乎都存在注入漏洞。
3.漏洞等级
高危
4.漏洞复现
(1)环境搭建
订阅专栏 解锁全文
扫一扫
评论
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
查看更多评论
添加红包
