menu arrow_back 湛蓝安全空间 |狂野湛蓝,暴躁每天 chevron_right All_wiki chevron_right --Vulnerability-main chevron_right jinja服务端模板注入漏洞.md
  • home 首页
  • brightness_4 暗黑模式
    • cloud
    xLIYhHS7e34ez7Ma
    cloud
    湛蓝安全
    code
    Github
    jinja服务端模板注入漏洞.md
    385 B / 2021-05-21 09:14:38
        # jinja服务端模板注入漏洞


程序使用了jinja2的某个渲染函数 比如render_template_string,且存在可控输入点,可造成命令执行漏洞。

详情可以参考这篇文章:https://secure-cookie.io/attacks/ssti/#what-is-template

输入 {{7*7}} 看是否输出 49

利用方式可以参考:https://secure-cookie.io/attacks/ssti/#how-is-that-exploitable
    links
    file_download