Server-Side Template Injection (SSTI) Attack
“Server-Side Template Injection” ist eine Schwachstelle, die auftritt, wenn eine Web-Applikation Daten von einem Benutzer annimmt und diese in eine Vorlagen-Engine einsetzt, um dynamische HTML-Seiten zu generieren. Diese Vorlagen-Engine ist eine Art von Computerprogramm, das dazu verwendet wird, Vorlagen zu erstellen, die dann Daten einsetzen, um HTML-Seiten zu generieren.
Wenn ein Angreifer in der Lage ist, eine SSTI-Attacke auf eine Web-Applikation auszuführen, kann er in der Lage sein, Code in die Vorlage einzufügen, die die Web-Applikation verwendet. Dies kann dazu führen, dass der Server kompromittiert wird und der Angreifer auf Daten, die auf dem Server gespeichert sind, zugreifen kann. Im schlimmsten Fall kann dies dazu führen, dass der Angreifer den Server übernimmt und volle Kontrolle über ihn hat.
Eine SSTI-Attacke kann in der Regel vermieden werden, indem Sie sicherstellen, dass alle Daten, die von einem Benutzer eingereicht werden, gründlich validiert und gefiltert werden, bevor sie in der Vorlagen-Engine eingesetzt werden. Es ist auch wichtig, dass die Vorlagen-Engine selbst sicher ist und regelmäßig auf Sicherheitslücken überprüft wird.