总结|各语言所涉及漏洞

是时候总结一下了(后续一直补充)

Posted by Elli0t on 2020-03-27

python

Flask 模块:

SSTI 漏洞

CherryPy 模块

urllib2 模块

换行符(%0d%0a),导致可以在正常的HTTP头中插入任意内容。

NodeJS

Prototype 污染攻击(原型污染):

出现标志:

请求夹带(请求路径中包含精心选择的 unicode 字符,攻击者可以欺骗 Node.js 将HTTP协议控制字符写入线路。)造成SSRF