【SSTL技巧拓展】————2、服务端注入之Flask框架中服务端模板注入问题

最新推荐文章于 2024-07-26 17:38:00 发布
最新推荐文章于 2024-07-26 17:38:00 发布
阅读量876 收藏 6
点赞数
分类专栏: 【渗透测试拓展】 # SSTI技巧拓展
本文探讨Flask框架中模板使用的安全问题,包括服务端模板注入、XSS漏洞、不常见模板后缀及HTML标签属性绕过的风险,并提供防范措施。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

严正声明:本文仅限于技术讨论与学术学习研究之用,严禁用于其他用途(特别是非法用途,比如非授权攻击之类),否则自行承担后果,一切与作者和平台无关,如有发现不妥之处,请及时联系作者和平台。

0×00. 前言 

Flask 是python语言编写的轻量级的MVC (也可以称为MTV, T: Template)框架

具体详见:http://docs.jinkan.org/docs/flask/

对于Flask 框架本身,本文不做讨论。

本文主要通过几个例子,测试说明下Flask框架中服务端模板注入带来的安全隐患

0×01. 测试Code

from flask import Flask, request, render_template_string, render_template
app = Flask(__name__)
@app.route('/hello-template-injection')
def hello_ssti():
person = {'name': "world", 'secret': "UGhldmJoZj8gYWl2ZnZoei5wYnovcG5lcnJlZg=="}
if request.args.get('name'):
person['name'] = request.args.get('name')
template = '''<h2>Hello %s!</h2>''' % person['name']
return render_template_string(template, person=person)
@app.route('/hello-xss')
def hello_xss():
name = "world"
template = 'hello.unsafe'# 'unsafe' file extension... totally legit.
if request.args.get('name'):
name = request.args.get('name')
return render_template(template, name=name)
@app.route('/html-attribute-xss')
def hello_hi():
template = '''<title>No Injection Allowed!</title>
<a href={{ url_for('hello_xss')}}?name={{ name |e}}>
Click here for a welcome message</a>'''
name = "world"
if request.args.get('name'):
name = request.args.get('name')
return render_template_string(template, name=name)
####
# Private function if the user has local files.
###
def get_user_file(f_name):
with open(f_name) as f:
return f.readlines()
app.jinja_env.globals['get_user_file'] = get_user_file# Allows for use in Jinja2 templates
if __name__ == "__main__":
app.run(debug=True)

0×02. 模板字符串中字符串拼接或替换引发的安全隐患

我们看一下测试代码中的 hello_ssti函数,函数中模板内容

template = '''<h2>Hello %s!</h2>''' % person['name']

就是简单的字符串替换,这会引发什么安全问题吗?
我们看例子:
运行后,浏览器访问: http://localhost:5000(Flask开发的程序,默认监听端口为5000)

OK, 打印Hello World。但是,如果传入的name 参数值为恶意代码会怎么样?

引发敏感信息泄露

http://localhost:5000/hello-template-injection?name=ForrestX386. {{person.secret}}

secret 值被泄露

原因:

我们知道Flask 中使用了Jinja2 作为模板渲染引擎,{{}}在Jinja2中作为变量包裹标识符,Jinja2在渲染的时候会把{{}}包裹的内容当做变量解析替换,如果传入的name=ForrestX386. {{person.secret}},那么在模板渲染的时候就会将{{}}替换成字典person中secret元素的值

**引发本地文件包含漏洞**

http://localhost:5000/hello-template-injection?name=ForrestX386. {{get_user_file('E:\haha.txt')}}

E:\haha.txt 内容被泄露

原因:

同上,Jinja2在渲染模板的时候,将{{get_user_file(‘E:\haha.txt’)}}的内容替换成get_user_file(‘E:\haha.txt’)函数的返回值

如何解决上述问题:

将template = ”’<h2>Hello %s!</h2>”’ % person['name']

更改为template = ”’<h2>Hello {{person['name']}}!</h2>”’

这样以来,Jinja2在模板渲染的时候将person['name']的值替换掉{{person['name']}}, 而不会对person['name']内容进行二次渲染(这样即使`person['name']中含有{{}}也不会进行渲染,而只是把它当做普通字符串)

0×03. render_template_string 的安全隐患

我们知道Flask render_template函数在模板渲染(使用Jinja2模板引擎)的时候,会自动对模板(常见的模板后缀才进行自动HTML转码,比如.html,.htm等,不常见的模板后缀是不会进行HTML自动编码的,下面会介绍到)内容进行HTML实体编码,从而避免XSS漏洞的发生,但是Flask中的render_template_string 函数却不会对要渲染的模板字符串进行自动HTML实体编码,存在XSS安全隐患

下面看一个例子

引发XSS

http://localhost:5000/hello-template-injection?name=ForrestX386. <script>alert(“welcome to visit ForrestX386.github.io.”)</script>

确实发生了XSS弹窗,说明render_template_string 函数没有进行自动HTML实体编码

注: 如果你在测试过程中使用的是chrome浏览器,且没有弹框,请把chrome XSS 过滤器给关闭,你可以这样关闭chrome xss 过滤器,在目标后面加上`–args –disable-xss-auditor `

确定,重启chrome,就可以了

如何解决上述问题

我们可以在输出的内容后面加上`| e`,这样就要求Jinja2模板引擎 将输出内容HTML实体编码后再输出给用户

template = '<h2>Hello {{ person['name'] | e }}!</h2>'

恩,这样就不会有XSS 漏洞了

0×04. 使用不常见的模板后缀引发的安全隐患

我们看一下测试代码中的hello_xss 方法,其中模板为`template = ‘hello.unsafe’`, 后缀unsafe 不是Jinja2模板引擎支持的自动HTML编码的模板后缀,如果编写模板内容的时候不够细心或者考虑不周全,则可能引发XSS漏洞。 看下面的例子

如果hello.unsafe模板内容是这样的:

 
{% autoescape true %}
<h2>Good</h2>
<p>
Hello {{ name }}! I don't trust your input. I escaped it, just in case.
</p>
{% endautoescape %}
<h2>Bad</h2>
<p>
I trust all data! How are you {{ name }}?
</p>

区块Good 使用Jinja2中autoescape方法,而区块Bad 没有使用,我们访问下面的url看看会发生什么

http://localhost:5000/hello-xss?name=ForrestX386.<script>document.title="xss";</script>

是的,使用autoescape方法的区块没有XSS漏洞(autoescape函数会自动将所包裹区块自动HTML实体编码),而没有使用autoescape方法的区块(Bad区块)发生XSS漏洞,说明render_template是不会对不支持自动HTML实体编码的模板后缀进行自动HTML实体编码

所以当使用render_template渲染Jinja2模板引擎不支持自动HTML实体编码的模板后缀的时候,请小心仔细一些,在有用户输入的的地方使用autoescape方法

如何解决上述问题

除了使用autoescape方法,我们还可以在要渲染的内容后面加上` |e `进行HTML实体编码

比如将Bad 区块内容更改为

<h2>Bad</h2>
<p>
I trust all data! How are you {{ name |e }}?
</p>

这样就不会有XSS漏洞了

0×05. 利用模板中html标签属性字段绕过xss过滤

我们在0×03节谈到了render_template_string 不会对要渲染的字符串进行自动HTML实体编码转换,但是可以使用|e 对输出内容进行HTM实体编码转换,那么使用`|e`一定安全吗? 那倒不一定,不信看看下面的测试:

我们看一下测试代码中的hello_hi方法

@app.route('/html-attribute-xss')
def hello_hi():
template = '''<title>No Injection Allowed!</title>
<a href={{ url_for('hello_xss')}}?name={{ name |e}}>
Click here for a welcome message</a>'''
name = "world"
if request.args.get('name'):
name = request.args.get('name')
return render_template_string(template, name=name)

name 虽然使用|e 进行html实体转义 ,但我们可以通过下面的方式进行绕过,浏览器访问:

http://localhost:5000/html-attribute-xss?name=test οnmοuseοver=document.title="xss-again"

打开的界面是这样的:

当我们把鼠标放在超链接上的时候

注意到没有 title 变成了xss-again,说明xss注入成功
原因:
name 参数传入的值为test οnmοuseοver=document.title=”xss-again”,替换之后变成

<a href={{ url_for('hello_xss')}}?name=test οnmοuseοver=document.title="xss-again" >

因为注入的name参数值渲染后出现在了HTML标签的属性值中,而|e 是不会对属性值进行HTML转义过滤的

如何解决:

只要使用单引号或者双引号将href的值括起来就可以了

<a href="{{ url_for('hello_xss')}}?name={{ name |e}}">

0×06. 总结

通过上面的例子,我们总结了再Flask框架中使用模板可能带来的一些安全隐患以及对应的解决方法,让我们了解了使用模板中一些tips。总之,我们在使用Flask开发的时候,一定要谨记:用户的任何输入都是不可信的,要在输入和输出端都做好过滤

Origin Refer:https://nvisium.com/blog/2015/12/07/injecting-flask/

 

Flask后端框架的安全漏洞修复与防范
大厂资深架构师
05-12 742
本文旨在为Flask开发者提供全面的安全防护指南,涵盖从基础到进阶的安全防护技术。我们将重点关注Flask特有的安全问题和解决方案,同时也会讨论通用的Web安全原则在Flask中的实现方式。文章首先介绍Flask的安全基础,然后深入分析各类安全漏洞的原理和修复方案,接着通过实际案例展示安全防护的实现,最后提供安全工具和资源推荐。CSRF(Cross-Site Request Forgery): 跨站请求伪造,攻击者诱使用户在不知情的情况下提交恶意请求XSS。
【网络安全 | 1.5w字总结】SSTI漏洞入门
等风来
08-24 1万+
SSTI(Server-Side Template Injection)是一种服务器端模板注入漏洞,它出现在使用模板引擎的Web应用程序中。模板引擎是一种将动态数据与静态模板结合生成最终输出的工具。然而,如果在构建模板时未正确处理用户输入,就可能导致SSTI漏洞的产生。sql注入的成因是:当后端脚本语言进行数据库查询时,可以构造输入语句来进行拼接,从而实现恶意sql查询。
Python-Flask框架(四), jinja2模板注入
Huifeng Tang 的博客
11-24 2423
Python-Flask框架, 如何进行模板注入?
[Web安全学习] SSTL模板注入总结
Y1seco的博客
08-18 1640
前置知识 引自 bfengj __class__ 类的一个内置属性,表示实例对象的类。 __base__ 类型对象的直接基类 __bases__ 类型对象的全部基类,以元组形式,类型的实例通常没有属性 __bases__ __mro__ 此属性是由类组成的元组,在方法解析期间会基于它来查找基类。 __subclasses__() 返回这个类的子类集合,Each class keeps a list of w
服务端模板注入攻击 (SSTI) 之浅析
weixin_33918114的博客
03-08 480
RickGray · 2015/11/05 11:50Author: RickGray (知道创宇404安全实验室)在今年的黑帽大会上 James Kettle 讲解了 《Server-Side Template Injection: RCE for the modern webapp》,从服务端模板注入的形成到检测,再到验证和利用都进行了详细的介绍。本文在理解原文内容的基础上,结合更为具体的示例...
Python-模板注入
m0_51428325的博客
12-26 1958
何为模板注入模板引擎可以让(网站)程序实现界面与数据分离,业务代码与逻辑代码的分离,哲大大提升了开发效率,良好的设计也是的代码重用变得更加容易。 到那时模板引擎也拓宽了我们的攻击面,注入模板中的代码可能会引发RCE或者XSS flask基础 在学习SSTI之前,先把flask的运作流程搞明白,这样有利于更加快速的理解原理 路由 先看一段代码 from flask import flask @app.route('/index/') def hello_word(): .
关于蓝图和声明式服务的思想:依赖注入或依赖管理
danpu0978的博客
04-17 199
我使用OSGi蓝图已有两年了,对此我感到很满意。 蓝图是Apache Karaf内部最明显的选择,并且由于它通常是一种运行良好的解决方案,所以我不需要寻找替代方案。 今年早些时候,我有机会观看了Scott England Sulivan的演讲,其中包括一个使用OSGi声明式服务的小项目的演示,使我认为我应该开始更深入地研究OSGi声明式服务 。 因此,这里有一些关于OSGi中依赖项注...
web安全-SSTI模板注入漏洞
weixin_61956136的博客
07-31 4014
web安全-SSTI模板注入漏洞
差分逻辑电平——SSTL、HSTL、HSUL结构
weixin_45365488的博客
03-22 1万+
如上图所示,可以看出POD电平的输出电路和SSTL电平并没有差别,差别仅仅在于POD和SSTL电平的所采用的终端端接方式(ODT)和Vref不同。——我们在实际设计中看到的是,如果VREF和VTT都用分立电阻来搭,那么VREF用1K±1%分压至(1/2) *VDDQ,而VTT则用Rp分压至(1/2) *VDDQ;驱动端输出低电平时,POD由于上拉电压高,功耗稍大于SSTL,正因此,DDR4多了一个DBI功能,即数据总线翻转,当一个字节里0的位数大于1的位数时,可以将0和1反转,以降低功耗。
buuojweb刷题wp详解及知识整理—-【护网杯】easy_tornado(模板注入+md5)
01-20
服务端模板注入也是一种注入攻击(简称为SSTL) 这又涉及到了本人的知识盲区 借这个题学习补充一下知识 自己走过的路加wp辅助 信息收集加思路推理 点击一下/welcome.txt 回显 render 而且url处有异常 同理测试其他...
CTF笔记 SSTI模板注入
qq_51248658的博客
10-21 1087
这次只是简单的把以前写的题目进行了总结,大致明白了解题步骤,但还是得多积累一些payload,以及绕waf的方法。这个可以去找sstilab通关相关内容进行学习,感觉那上面挺全的。
【网络安全 | CTF】一文带你了解SSTI漏洞 + Web_python_template_injection解题详析
等风来
05-28 7511
2.命令执行注入:攻击者在应用程序中的命令执行语句中注入模板代码,从而执行任意系统命令,获取系统权限,对系统进行攻击等。3.变量渲染注入:攻击者在应用程序中的变量渲染语句中注入模板代码,从而影响页面的输出,导致代码执行或信息泄漏等问题。在 Python 3 中,当对一个未导入的模块(如 os 模块)执行 eval() 函数时,linecache 模块会发出一个警告,可利用这个警告来读取敏感信息。1.条件语句注入:攻击者在应用程序中的条件语句中注入模板代码,从而控制条件判断的分支,导致程序的逻辑错误。
SSTI漏洞详解
apple_74953689的博客
07-26 2983
SSTI(Server-Side Template Injection)是一种发生在服务器端模板中的漏洞。当应用程序接受用户输入并将其直接传递到模板引擎中进行解析时,如果未对用户输入进行,攻击者可以通过构造来注入模板代码,导致服务器端模板引擎执行恶意代码。more常见的模板有很多,不同模板的语法也不相同,在实际情况我们可以测试判断属于哪一种模板。下面将引用一个简单的例子来说明,假设有一个包含以下代码的Twig模板文件Hello, 49!但是,如果攻击者将。
任意文件读取漏洞中flask SSTL 注入练习总结
L2329794714的博客
11-15 3370
一、flask: Flask是一个使用python编写的Web 应用框架模板引擎使用 Jinja2 。j简单理解为,flask 是一个开发web 程序的python 第三方框架,即可以通过这个框架编写自己想要的web 程序。 二、SSTL注入: 中文解释为 服务器模板注入攻击,即服务器端接受客户端输入数据,并作为web 应用模板数据的一部分,在执行目标渲染时,恶意代码将被执行。重点就在对目标文件渲染的过程,不同的框架使用的渲染模板引擎不同,flask 使用的时Ji...
Python中的依赖注入
北辰
09-01 1480
FastAPI 调用依赖项的方式与路径操作函数一样,因此,定义依赖项函数,也要应用与路径操作函数相同的规则。即既可以使用异步的 async def,也可以使用普通的 def 定义依赖项。在普通的 def 路径操作函数中,可以声明异步的 async def 依赖项;也可以在异步的 async def 路径操作函数中声明普通的 def 依赖项。比如,可以定义依赖其它依赖项的依赖项。会处理所有依赖项及其子依赖项,并为每一步操作提供(注入)结果。依赖项就是一个函数,且可以使用与“路径操作函数"相同的参数。
python的web框架的tornado和flask模块注入
qq_53099802的博客
05-19 625
tornado的render模块注入flask注入
CTF之路:关于Flask模板注入
zw05011的博客
01-07 6085
题目 题目叫Simple SSTI 打开网页,显示You need pass in a parameter named flag. SSTI,即服务器端模板注入
Flask(Jinja2服务端模板注入漏洞
Hard Working
12-10 6543
其实我根本没用过flask模板,但是最近在学习python,研究下划线,莫名其妙地就学习到这里了。首先搭建一个flask环境。在github上下一个docker https://github.com/vulhub/vulhub/tree/master/flask/ssti 然后运行docker先来看一下代码: 由此,在浏览器中输入 http://your-ip/?name=leaf会出
Flask中render_template的使用和模板的继承
热门推荐
GeekLee的博客
09-11 3万+
ee
sstl2_dci 和lvcmos12
最新发布
05-23
### SSTL2_DCI 和 LVCmos12 的技术规范与差异 #### 1. **SSTL2_DCI (Stub Series Terminated Logic)** SSTL 是一种用于高速数据传输的标准接口逻辑电平,广泛应用于 DDR SDRAM 接口。SSTL2_DCI 特指第二代 SSTL 配置下的驱动器特性。 - **电压范围**: SSTL2 使用的核心电源电压通常为 2.5V[^1],而 I/O 电压则维持在约 2.5V ± 0.2V 范围内。 - **信号摆幅**: SSTL2_DCI 提供较低的信号摆幅以减少电磁干扰(EMI),其典型高电平约为 \( V_{DDQ} - 0.4 \) V,低电平约为 \( V_{SS} + 0.4 \) V[^2]。 - **终端匹配**: SSTL2_DCI 强调通过串联电阻实现终端匹配,从而降低反射效应并提高信号完整性。 - **应用场景**: 主要适用于内存控制器到 DRAM 模块之间的通信链路。 #### 2. **LVCMOS12 (Low Voltage Complementary Metal-Oxide-Semiconductor)** LVCMOS 是 CMOS 技术的一种变体,支持更低的工作电压,适合低功耗设计需求。 - **电压范围**: LVCMOS12 表明该标准运行于 1.2V 核心供电下,输入/输出兼容性也基于此电压水平[^3]。 - **信号摆幅**: 它提供完整的轨到轨(rail-to-rail)信号幅度,即从接近 GND 到近似 \( V_{CCIO} \)[^4]。 - **负载能力**: 对比其他低压标准,LVCMOS 更能承受较大的容性负载而不显著影响性能。 - **应用领域**: 常见于微处理器、FPGA 及 ASIC 设计中的内部外设互联部分。 #### 3. **主要区别对比** | 参数 | SSTL2_DCI | LVCMOS12 | |-------------------|------------------------------------|----------------------------------| | **核心工作电压** | ~2.5V | ~1.2V | | **信号振幅控制** | 减弱型 | 全轨至轨 | | **抗噪能力** | 较强 | 中等 | | **功率消耗** | 相对较高 | 显著偏低 | 值得注意的是,在混合使用这两种不同电气特性的组件时需特别小心处理电平转换问题以免损坏设备或者引起功能紊乱[^5]。 ```python # 示例 Python 代码展示如何设置 FPGA IO Standard def configure_fpga_io(pin_name, io_standard): if io_standard == 'SSTL2_DCI': set_voltage(2.5) elif io_standard == 'LVCMOS12': set_voltage(1.2) apply_config(pin_name) configure_fpga_io('PIN_A', 'SSTL2_DCI') configure_fpga_io('PIN_B', 'LVCMOS12') ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值