从DownUnderCTF 2025探讨Handlebars的ast语法树注入问题
# Handlebars AST语法树注入分析与防御
## 前言
本文通过分析DownUnderCTF 2025中的一道题目,深入探讨Handlebars模板引擎中AST语法树注入的安全问题。题目使用了最新版本的Handlebars,不存在传统SSTI(服务器端模板注入)漏洞,而是通过AST语法树注入实现攻击。
## 题目分析
### 初始环境
题目提供了一个简单的Dockerfile和app.js:
```javascript
// app.js
const express = r
2025-08-30 16:21:23
0