Erlik 2:一个基于Flask开发的包含大量安全漏洞的研究平台

最新推荐文章于 2025-07-22 17:26:00 发布
最新推荐文章于 2025-07-22 17:26:00 发布
阅读量317 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: flask python 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/text202202/article/details/128841250
Erlik2,又名Vulnerable-Flask-App,是一个基于Flask的实验平台,包含多种安全漏洞,如HTML注入、XSS、SQL注入等,旨在帮助研究人员进行Web渗透测试和漏洞研究。用户需先安装Python3环境,克隆项目代码,安装依赖,然后运行程序启动平台。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

关于Erlik 2

Erlik 2,也被称为Vulnerable-Flask-
App,该工具是一个基于Flask开发的包含大量安全漏洞的研究平台。本质上来说,它是一个包含了大量漏洞的Flask
Web应用程序。有了这个实验环境,广大研究人员可以轻松在Web渗透测试领域提升自己的能力,或研究Web漏洞的运行机制。

功能介绍

当前版本的Erlik 2包含下列安全漏洞:

1、HTML注入漏洞

2、XSS漏洞

3、SSTI模版注入漏洞

4、信息披露漏洞

5、SQL注入漏洞

6、命令注入漏洞

7、反序列化漏洞

8、暴力破解漏洞

9、失效的身份认证漏洞

10、DoS攻击漏洞

11、文件上传漏洞

工具安装

该平台基于纯Python 3开发,因此我们首先需要在本地设备上安装并配置好Python 3环境。

接下来,我们需要使用下列命令将该项目源码克隆至本地:

git clone https://github.com/anil-yelken/Vulnerable-Flask-App

然后使用pip3和项目提供的requirements.txt文件安装该平台运行所需要的依赖组件:

cd Vulnerable-Flask-App

sudo pip3 install -r requirements.txt

工具使用

直接运行下列命令后即可开启Erlik 2:

python3 vulnerable-flask-app.py

平台运行截图

Erlik
2运行后即可在控制台中看到开启后的网站服务器地址,将“http://10.10.10.128:8081/”拷贝到浏览器地址栏后即可开始你的Web应用安全渗透测试之旅。

网络安全工程师企业级学习路线

这时候你当然需要一份系统性的学习路线

如图片过大被平台压缩导致看不清的话,可以在文末下载(无偿的),大家也可以一起学习交流一下。

一些我收集的网络安全自学入门书籍

一些我白嫖到的不错的视频教程:

上述资料【扫下方二维码】就可以领取了,无偿分享

Flask框架中常规漏洞防范方法
ALLEN'Blog
01-05 844
Double Fetch是一种条件竞争类型的漏洞,其主要形成的原因是由于用户态与内核态之间的数据在进行交互时存在时间差,我们在先前的学习中有了解到内核在从用户态中获取数据时会使用函数copy_from_user,而如果要拷贝的数据过于复杂的话则内核会选择引用其指针而将数据暂存于用户态中等待后续处理,而在这时数据会存在被条件竞争修改原有数据的风险,也就是笔者要分享的Double Fetch的由来。
网络安全之路:我的系统性渗透测试学习框架
03-19 2132
没有兴趣,何来成就,难道就只是为了咕噜猫?hahaha(听不懂吧,没关系,只是因为加密了,你能从我的笔记中找到答案么嘿嘿嘿嘿!!!) 注意:以下内容仅记录本人当时学习时任然不知的相关知识。笔记草率,可能有错,仅供参考。我会慢慢完善的哦! 写在前面: 1.业界比较好的信息安全网站: freebuff:这个看来你已经找到了 secWiKi:ennnnn 安全客:收集了各大SRC哦,如果你哪一天灵感大发发现一个漏洞或者业务逻辑Bug,赶快去提交吧,也可以去补天,漏洞盒子提交哦!还有众测平台哈哈哈。还有
[python]浅谈Flask的SSTI漏洞
记录学习,一起进步
04-03 1679
[python]浅谈Flask的SSTI漏洞
Flask(Jinja2)服务端模板注入漏洞(SSTI)整理
qq_46145027的博客
04-19 2019
整理一下Flask框架下的SSTI漏洞相关知识
flask框架漏洞
JJT
05-14 8121
在ctf里遇到了关于flask框架漏洞的题,此篇博文较为详细 转自https://www.jianshu.com/p/56614e46093e 一、简介 Flask一个使用 Python 编写的轻量级 Web 应用框架。Flask 依赖两个外部库: Jinja2模板引擎和WSGI 工具集。 1、常用概念 WSGI 只是一种接口,它只适用于 Python 语言,其全称为 Web Server Gateway Interface,定义了 web服务器和 web应用之间的接口规范。也就是说,只要 w.
【今日CV 计算机视觉论文速览 第144期】Wed, 17 Jul 2019
TomRen
07-21 6731
第144期 视觉论文速览 --残差金字塔深度估计 --通道,空间特征提升模块 --感知评价 --动作数据集Kinetics-700 --细粒度食物数据集Foodx-251 --场景文字合成渲染
python flask 多线程_关于flask线程安全的简单研究
weixin_39622568的博客
12-10 1113
flaskpython web开发比较主流的框架之一,也是我在工作中使用的主要开发框架。一直对其是如何保证线程安全的问题比较好奇,所以简单的探究了一番,由于只是简单查看了源码,并未深入细致研究,因此以下内容仅为个人理解,不保证正确性。首先是很多文章都说flask会为每一个request启动一个线程,每个request都在单独线程中处理,因此保证了线程安全。于是就做了一个简单的测试。首先是写一个简...
Flask(python web框架)安全
Love&Share
03-04 1万+
Flask 作为一个 WEB 框架来说内部封装的安全性的措施很多,基本解决了常见的 web 漏洞,下面介绍 Flask 是如何来避免产生 常见的 web 漏洞。 SQL注入: Flask 使用 ORM 对象关系映射的数据库管理方式,同时 Flask 框架内部也封装了许多安全性的函数,对于 SQL 注入拥有一定防护力,如图 Flask 中单引号会自动进行转义 XSS: Flask 使用 Jinja2 模板引擎,Jinja 会默认将渲染变量进行 HTML 实体转义 @user_bp.route('/test2
pythonflask解决xss攻击漏洞
石磊
12-22 5053
版权声明:可以任意转载,转载时请标明文章原始出处-xjtushilei和作者信息:石磊 xss漏洞解决跨站脚本攻击的原理XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意脚本代码,而程序对于用户输入内容未过滤,当用户浏览该页之时,嵌入其中Web里面的脚本代码会被执行,从而达到恶意攻击用户的特殊目的。跨站脚本攻击的危害:窃取c
Flask(Jinja2) 服务端模板注入漏洞
luvlettercl的博客
05-14 926
Flask一个web框架,提供工具、库、技术来允许用户创建一个web应用程序,不依赖外部框架。 Jinja2python中被广泛应用的模块引擎,由python实现的模块语言,Flask提供render_template函数封装了该模块引擎。 漏洞复现: 手工复现: 开启环境:docker-compose up -d 访问:http://192.168.0.27:8000 payload:url/?name={{3*3}} 出现 9 即代表SSTI漏洞存在 漏洞利用: ur..
flask session 安全问题 和 python 格式化字符串漏洞
闵行小鱼塘
11-16 1127
ctf题中遇到了伪造session和python的格式化字符串漏洞,这里做个小结
Python——flask漏洞探究总结(持续更新)
kuller_Yan的博客
04-08 2877
通过python的对象的继承来一步步实现文件读取和命令执行的的。 流程: 找到父类<type ‘object’>–>寻找子类–>找关于命令执行或者文件操作的模块。 几个魔术方法: __class__ 返回类型所属的对象 __mro__ 返回一个包含对象所继承的基类元组,方法在解析时按照元组的顺序解析。 __base__ 返回该对象所继承的基类 // __base...
python框架漏洞_flask框架漏洞
weixin_40002846的博客
12-05 878
一、简介Flask一个使用 Python 编写的轻量级 Web 应用框架。Flask 依赖两个外部库: Jinja2模板引擎和WSGI 工具集。1、常用概念WSGI 只是一种接口,它只适用于 Python 语言,其全称为 Web Server Gateway Interface,定义了 web服务器和 web应用之间的接口规范。也就是说,只要 web服务器和 web应用都遵守WSGI协议,那么...
常见web攻击方式之DOS、XSS
Stealth_pain的博客
02-14 1079
DOS DOS 攻击常以 Web 应用程序中脆弱的线路或 URL 作为 目标,并向其发送精心设计的数据包或 URL,这样会迫使服务器陷入无限循环或进行 CPU 密集型运算,从而使得它从数据库中大规模加载数据,最终迫使服务器 CPU 超负荷运载以阻止服务器执行其他请求。 DDOS DDOS 攻击是指 DOS 攻击以一种精心设计的方式执行 —— 利用多系统针对单域进行攻击。通常有数千个 IP 地址被使...
19.浅谈DOS与DDOS攻击的原理
郑学炜的技术博客
05-06 5722
在了解分布式拒绝服务攻击的原理之前,先要了解以下两个关键的基础原理1.TCP饿死:UDP这种传输方式不会控制自己在通信通道里的流量,可理解为不讲道理的人。他们来到了一个热闹地区的KFC中,但是他们不买东西只排队将所有食物的价格都问一遍,占满所有的座位和过道。而常规的TCP服务通过自己的弹窗机制来控制流量,好比讲道理的人,座位被占满了,TCP自然会离开KFC导致正常的服务不能进行。最终的结果就是UD...
python 实现DoS攻击
热门推荐
有图有真相
05-04 1万+
前言 一 狗店老板欺负我女神,作为一个程序员这如果都能忍那还算男人?得知这个狗店老板买狗网站后果断决定黑了他,看他嚣张不嚣张。我使用的是DOS攻击,没一分钟就把他的网站日瘫了,解气。 DOS DOS拒绝服务攻击(Denial-of-Service Attack)亦称洪水攻击,是一种网络攻击手法,其目的在于使目标电脑的网络或系统资源耗尽,使服务暂时中断或停止,导致其正常用户无法访问。  ...
Flask SSTI漏洞介绍及利用
JCPS_Y的博客
10-23 2981
Flask SSTI漏洞介绍及利用
Flask转发 [Siemens.Sistar.Api.dll] Braumat API--->DLL to restAPI
最新发布
kobe_okok的博客
07-22 140
【代码】Flask转发 [Siemens.Sistar.Api.dll] Braumat API--->DLL to restAPI。
写个 flask todo app,简洁,实用
waterHBO的博客
07-22 481
这是一个基于 Flask 框架开发的现代化 Todo 应用,专为个人任务管理而设计。应用采用简洁的界面设计和直观的操作方式,帮助用户高效管理日常任务。这个 Flask Todo 应用虽然功能简洁,但涵盖了任务管理的核心需求。它不仅是一个实用的工具,也是学习 Flask 全栈开发的优秀示例。无论是个人使用还是作为学习项目,都具有很好的实用价值。项目代码结构清晰,易于理解和扩展,是 Web 开发初学者和有经验开发者的理想选择。
【NLP舆情分析】基于python微博舆情分析可视化系统(flask+pandas+echarts) 视频教程 - 用户登录实现
java1234的博客
07-20 442
【NLP舆情分析】基于python微博舆情分析可视化系统(flask+pandas+echarts) 视频教程 - 用户登录实现
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值