SSTI 취약점

1. SSTI 이란

SSTI(Server-Side Template Injection) 취약점은 웹 템플릿 엔진의 취약점을 이용한 공격을 말한다.  공격자가 서버 측 템플릿에 악성 코드를 주입할 수 있는 보안 취약점의 일종으로, 이는 애플리케이션의 권한으로 서버 측에서 실행될 수 있습니다. 이로 인해 정보 노출, 권한 상승, 원격 코드 실행과 같은 다양한 유형의 공격이 발생할 수 있습니다.

SSTI 취약점 분석

2. Template 구문 

Template Engine 별 사용되는 Template 문법

 

SSTI는 웹 템플릿마다 사용할 수 있는 페이로드가 다르니 하나씩 대입해 결과 값을 통해 페이로드를 찾는 것이 좋다. 

 

자주 사용되는 Jinja Template 문법 예제