摘要：SSRF之利用dict和gopher吊打Redis 写在前面 SSRF打Redis也是老生常谈的东西了，这里复现学习一下之前在xz看到某师傅写的关于SSRF利用dict和gopher打内网服务的文章，主要是对webshell和sshkey的写入进行复现，做一点小笔记。 准备环境 centos：有计划 阅读全文

摘要：初探 Python Flask+Jinja2 SSTI 文章首发安全客：https://www.anquanke.com/post/id/226900 SSTI简介 SSTI主要是因为某些语言的框架中使用了渲染函数，比如Python中的Flask框架用jinjia2模块内的渲染函数，在不规范的代码中 阅读全文

摘要：Supervisord远程命令执行漏洞（CVE-2017-11610）复现 文章首发在安全客 https://www.anquanke.com/post/id/225451 写在前面 因为工作中遇到了这个洞，简单了解后发现正好是py的源码，因此想试一下依据前辈的分析做一下简单的代码分析，找到漏洞点。 阅读全文