kirimine170 / HackSick

日本語でアクセスできるサイバーセキュリティの情報源が少ないため,自分で作ることにした.
2 stars 0 forks source link

ThymeleafのSSTI方法をまとめたい #8

Open kirimine170 opened 1 month ago

kirimine170 commented 1 month ago

概要

テンプレートエンジン使うと,SSTI経由でRCEとかできる場合があるので,それをまとめたい.

詳細

フィルタリングルールで', ", java, execが止められる場合があるので,抜け穴もまとめたい

参考資料/リンク

提案

その他

kirimine170 commented 1 month ago

googlingしたところ

この辺が参考になりそうなことが判明. 和訳して,使えるペイロードまとめる方針で

末尾に参考文献でリンクするの忘れずに