2022年11月21日
Mybatis下的SQL注入漏洞原理及防护方法
摘要: 之前我一直认为 Mybatis 框架下已经实现预编译机制,很多东西都封装好了,应该基本上不会再有 SQL 注入问题了。近期在渗透中发现,在实际项目中,即使使用了 Mybatis 框架,但仍然有可能因为编码人员安全意识不足而导致 SQL 注入问题。出现情况还真不少,因此有了这篇文章。 阅读全文
posted @ 2022-11-21 15:29 2ha0yuk7on 阅读(5059) 评论(4) 推荐(5) 编辑
2022年9月14日
SSTI服务端模板注入漏洞原理详解及利用姿势集锦
摘要: SSTI(Server-Side Template Injection)服务端模板注入主要是模板框架使用渲染函数时,由于代码不规范或信任了用户输入而导致了服务端模板注入,导致攻击者可以进行任意代码执行。 阅读全文
posted @ 2022-09-14 15:19 2ha0yuk7on 阅读(3260) 评论(0) 推荐(1) 编辑