【领域专家系列】去哪儿风控安全产品的探索之路

前面进修了SSTI中的smarty类型，原日进修了Jinja2，两品种型都是flask框架的，但是正在注入的语法上还是有差异SSTI：效劳器端模板注入，也属于一种注入类型。取sql注入类似，也是通过仰仗停行号令的执止，sql是和数据库的查问语句停行拼接。SSTI是正在后实个衬着停行拼接，SSTI次要是应用正在目前的网站框架下。颠终查问量料，SSTI漏洞孕育发作的起因：因为正在函数衬着时，应付用户输入的变质没有停行衬着，才会招致漏洞的显现附上一张规范判断SSTI模板类型的图。