python SSTI flask jinja2模板渲染(模板注入)时获取源程序中的全局变量 好几次遇到这个问题,不过一直忘记,终于在一次题目中撞上了,因此决定记下来 先说结论,找到一个eval或import或者__builtins__类型,然后想办法导入自身(__import__('__main__')),从而获取到全局变量。 前言 在flask应用中,作为web服务器,经常需要渲染模...