iT邦幫忙

第 11 屆 iT 邦幫忙鐵人賽

DAY 21
1
Security

Web Security 魔法使攻略系列 第 21

Web Security 魔法使攻略─ Template Injection

前文

Template Injection 中文叫做 模板注入
分成兩種

  • Client-Side Template Injection
  • Server-side Template Injection

主要是因為現在有很多網站都是利用模板引擎來完成的,
比如說 python 的 Jinja2,
模板引擎好處是可以快速生成 HTML 讓前端更方便,
假設有一個地方可以再模板裡面塞入 {{system('whoami')}}是不是就有危害呢

網路上提供檢測的方法,來判定這個網站可能使用的模板引擎是什麼

如果你想要看更多的 payload 可以來這裡查看


上一篇
Web Security 魔法使攻略─ Upload
下一篇
Web Security 魔法使攻略─SSRF
系列文
Web Security 魔法使攻略30

尚未有邦友留言

立即登入留言