HTTP协议(未完)
图解HTTP1.Web及网络基础1.1.http协议访问web通过发送请求获取服务器资源的Web浏览器可称为客户端 Web使用HTTP(超文本传输协议)作为规范,完成从客户端到服务器端等一系列运作流程 1.2.网络基础TCP/IP1.2.1.TCP/IP协议族不同的硬件、操作系统之间的通信都需要一种规则。我们把这种规则称为协议。 把与互联网相关联的协议集合起来总称为TCP/IP。也有说法认为,TCP/IP 是指 TCP 和 IP 这两种协议。还有一种说法认为,TCP/IP 是在 IP 协议的通信过程中,使用到的协议族的统称。 1.2.2.TCP/IP的分层管理TCP/IP 协议族按层次分别分为以下 4 层:应用层、传输层、网络层和数据链路层。 应用层应用层决定了向用户提供应用服务时通信的活动。 TCP/IP 协议族内预存了各类通用的应用服务。比如,FTP(File Transfer Protocol,文件传输协议)和 DNS(Domain Name System,域名系统)服务就是其中两类。 HTTP 协议也处于该层。 传输层传输层对上层应用层,提供处于网络连接中的两台计算机之间的数据 ...
SSTI模板注入详解
SSTI模板注入SSTI简介SSTI就是服务器模板注入 当前使用的一些框架,比如python的flask,php的tp,java的spring等一般都采用成熟的MVC的模式,用户的输入先进入Controller控制器,然后根据请求类型和请求的指令发送给对应Model业务模型进行业务逻辑判断,数据库存取,最后把结果返回给View视图层,经过模板渲染展示给用户。 漏洞成因就是服务端接收了用户的恶意输入以后,未经任何处理就将其作为 Web 应用模板内容的一部分,模板引擎在进行目标编译渲染的过程中,执行了用户插入的可以破坏模板的语句,因而可能导致了敏感信息泄露、代码执行、GetShell 等问题。其影响范围主要取决于模版引擎的复杂性。 凡是使用模板的地方都可能会出现 SSTI 的问题,SSTI 不属于任何一种语言,沙盒绕过也不是,沙盒绕过只是由于模板引擎发现了很大的安全漏洞,然后模板引擎设计出来的一种防护机制,不允许使用没有定义或者声明的模块,这适用于所有的模板引擎。 SSTI原理模板是什么模板引擎(特指web开发的模板引擎)是为了使用户界面与业务数据(内容)分离而产生的,他可以生成特定格式的 ...