Server-Side Template Injection (SSTI) Attack
Server-Side Template Injection (SSTI) Attack on tyyppi hyökkäys, jossa hyökkääjä lähettää haitallisen koodin palvelimen, joka käsittelee sen mallipohjissa. Kun palvelin käsittelee haavoittuvaa mallipohjaa, haitalliset koodit ajetaan ja hyökkääjä voi suorittaa erilaisia toimia, kuten palvelimen tietojen varastamisen tai palvelunestohyökkäyksen.
Hyökkäys tapahtuu yleensä sovelluksen haavoittuvuuksien vuoksi, kuten käyttäjän syötteen tarkistamattoman käytön, haavoittuvien kirjastojen tai vanhentuneiden versioiden käytön tai väärin määritettyjen oikeuksien vuoksi. Haitalliset koodit voidaan lähettää HTML-, CSS-, JavaScript-, Python-, Ruby- tai muissa mallipohjissa riippuen sovelluksesta.
SSTI-hyökkäykset voivat olla erittäin tuhoisia, ja niiden estämiseksi kehittäjien on tarkistettava sovellusten haavoittuvuudet ja käytettävä asianmukaisia tarkistusmekanismeja. Hyvä käytäntö on myös käyttää ajankohtaisia ja turvallisia kirjastoja sekä päivittää sovellukset säännöllisesti.