实验室：通过用户提供的对象进行信息披露的服务器端模板注入

1. 登录并编辑产品描述模板之一。
2. 将模板表达式之一更改为无效的事物，例如fuzz字符串$ {{<％[％'“}}％\，并保存模板。输出中的错误消息暗示正在使用Django框架。
3. 研究Django文档并注意内置模板标签调试可以打电话给显示调试信息。

4. 在模板中，删除您的无效语法并输入以下语句以调用调试内置：

   {％调试％}
5. 保存模板。输出将包含您可以从此模板中访问的对象和属性列表。至关重要的是，请注意您可以访问设置目的。
6. 研究设置Django文档中的对象，并注意它包含一个密钥财产，如果攻击者知道，它具有危险的安全性。
7. 在模板中，删除{％调试％}声明并输入表达式{{settings.secret_key}}
8. 保存模板以输出框架的秘密键。
9. 单击“提交解决方案”按钮，然后提交秘密键以求解实验室。

garr_7