flask.request的内置属性总结

  |  

对于一个基于flask的web来说,Request是默认存在且有很多功能离不开Request.request对象是一个Request子类,提供了Werkzeug定义的所有属性以及一些Flask特定的属性。这导致我们有时可以控制request对象来处理一些数据.

对php伪协议的归纳

  |  

PHP不仅自身带有很多内置 URL 风格的封装协议,还之前很多的支持的协议与封装协议.而PHP伪协议, 可以理解是PHP支持的协议与封装协议.我们在通过伪协议来方便地管理php服务器,也可以用伪协议来做些敏感操作。如之前提过的文件包含,除此外还有ssrf、xxe等。

PHP支持的协议有12种。

关于jinja2特性对ssti的bypass的影响

  |  

之前写了一篇关于python ssti的文章,但在分析时过于肤浅地将重心放在python与flask上,从而完全忽视了对jinja2的深入探讨。实际上我们在flask中用{ {{ %在进行执行python逃逸时并不是直接给python引擎处理,而是要先经过jinja2’渲染’一道.因此这是对之前不足的整理.

|