摘要:
命令执行漏洞 1.形成原因 应用有些时候需要调用一些执行系统命令的函数,但是开发人员并没有对用户输入的参数进行严格的过滤(一切输入都是有害的),导致用户可以控制这些参数,并将恶意系统命令拼接到正常系统命令中,从而造成命令执行攻击,这就是命令执行漏洞(RCE)。 只有在网站程序开发时提供了执行 阅读全文
摘要:
SSTI模版注入 模板引擎 模板引擎是为了使用户界面与业务数据分离而产生的,他可以生成特定格式的文档,利用模版引擎来生成前端的html代码,模版引擎会提供一套生成html代码的程序,然后只需要获取用户的数据,然后放到渲染函数里,然后生产模版+用户数据的前端html页面,然后反馈给浏览器,呈现在用 阅读全文