Web Security 魔法使攻略─ Template Injection - iT 邦幫忙::一起幫忙解決難題，拯救 IT 人的一天

第 11 屆 iThome 鐵人賽

DAY 21

1

Security

Web Security 魔法使攻略系列第 21 篇

Web Security 魔法使攻略─ Template Injection

11th鐵人賽

團隊魔喵戰隊

2019-10-07 23:01:48

1371 瀏覽

分享至

前文

Template Injection 中文叫做模板注入
分成兩種

Client-Side Template Injection
Server-side Template Injection

主要是因為現在有很多網站都是利用模板引擎來完成的，
比如說 python 的 Jinja2，
模板引擎好處是可以快速生成 HTML 讓前端更方便，
假設有一個地方可以再模板裡面塞入 {{system('whoami')}}是不是就有危害呢

網路上提供檢測的方法，來判定這個網站可能使用的模板引擎是什麼

如果你想要看更多的 payload 可以來這裡查看

Web Security 魔法使攻略─ Upload

Web Security 魔法使攻略─SSRF

系列文

Web Security 魔法使攻略共 30 篇

目錄

RSS系列文訂閱系列文

57 人訂閱

完整目錄

直播研討會

{{ item.subject }}

{{ item.channelVendor }} {{ item.webinarstarted }} |

{{ formatDate(item.duration) }}

直播中

尚未有邦友留言

立即登入留言

參賽組數

1064 組

團體組數

40 組

累計文章數

22198 篇

完賽人數

602 人

15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js

IT邦幫忙