Server-Side Template Injection (SSTI)
Server-Side Template Injection (SSTI) est une vulnérabilité de sécurité dans les applications web qui permet à un pirate informatique d’injecter du code malveillant dans une page web. Le code malveillant est généralement inséré dans un champ de formulaire ou dans une URL pour être transmis au serveur web.
Lorsqu’un serveur web utilise des modèles pour générer des pages web, il peut parfois être vulnérable aux attaques SSTI. Les modèles sont des fichiers qui contiennent du code HTML avec des marqueurs spéciaux qui permettent au serveur web de remplacer dynamiquement le contenu.
Un pirate informatique peut exploiter une vulnérabilité SSTI en insérant du code malveillant dans un champ de formulaire ou dans une URL. Le serveur web, pensant que le code malveillant est une partie du modèle, peut générer des pages web qui contiennent le code malveillant.
Le code malveillant peut être utilisé pour voler des informations sensibles telles que des noms d’utilisateur et des mots de passe, ou pour exécuter des commandes sur le serveur web. Les attaques SSTI peuvent être évitées en utilisant des modèles sécurisés qui échappent le code malveillant ou en validant les entrées de l’utilisateur avant de les utiliser pour générer des pages web.