Templaattien Injektiot (SSTI)
Hieman harvinaisempi, mutta sitäkin vakavampi ja ennen kaikkea hauska haavoittuvuus!
Mikä on templaatti?
Templaatti, tai mallipohja on valmis pohja, tyypillisesti HTML-pohja, johon sovellus syöttää vain datan, ja templaatti osaa sitten rakentua datan pohjalta oikean näköiseksi. Templaatti on mainio ja turvallinen vaihtoehto vanhanaikaiselle HTML-rakentamiselle jossa HTML:ää rakennetaan turvattomasti merkkijonoja (tekstiä) yhdistelemällä.
Mitä ovat templaatti-injektiot?
SSTI, eli Server-Side Template Injection viittaa mallipohjien (yleensä HTML-mallipohjien) injektiohaavoittuvuuksiin. Haavoittuvuuden seurauksena hyökkääjä pääsee vaikuttamaan templaatin rakenteesen, ja koska templaatit lähes aina sisältävät kyvykkyyden suorittaa mielivaltaista koodia sovelluksessa, haavoittuvuudet johtavat tyypillisesti mielivaltaiseen koodinsuoritukseen (RCE / Remote Code Execution).
Hyppää kurssille tästä!
Hakkeroinnin oppiminen alkaa tästä
Sadat interaktiiviset kurssit, virtuaalilabrat ja CTF-haasteet selaimessasi. Aloita ilmainen kokeilu ilman korttitietoja.