文件名称:tplmap:服务器端模板注入和代码注入检测与开发工具
文件大小:102KB
文件格式:ZIP
更新时间:2024-05-23 08:11:40
Python
Tplmap 该项目不再维护。 我很高兴合并新的PR,只要它们不会破坏。 Tplmap通过许多沙箱转义技术来帮助利用代码注入和服务器端模板注入漏洞来访问底层操作系统。 开发该工具及其测试套件是为了研究SSTI漏洞类别,并在Web应用程序渗透测试期间用作攻击性安全工具。 沙盒突破技术来自James Kett的 ,其他公共研究 ,以及对该工具的原始贡献 。 它可以利用几种代码上下文和盲注场景。 它还在Python,Ruby,PHP,Java和通用的未沙盒化模板引擎中支持类似eval()的代码注入。 服务器端模板注入 假设您正在审核使用由用户提供的值组成的模板来生成动态页面的网站,例如以Python和编写的此Web应用程序以不安全的方式使用模板引擎。 from flask import Flask , request from jinja2 import Environment