Server-Side Template Injection (SSTI)
Server-Side Template Injection (SSTI) adalah masalah keamanan yang terjadi ketika aplikasi web menggunakan sintaks template yang dieksekusi di server dan mengizinkan pengguna memasukkan variabel yang tidak di-filter secara benar. Hal ini memungkinkan penyerang untuk memasukkan kode yang akan dieksekusi di sisi server.
Contoh, misalnya ada aplikasi web yang menjalankan sintaks template Jinja2 di server. Jika aplikasi tersebut memungkinkan pengguna untuk memasukkan variabel yang tidak di-filter sebelum dieksekusi, maka seorang penyerang dapat memasukkan kode Python yang akan dieksekusi di sisi server.
Hal ini dapat mengakibatkan pencurian data pengguna, pencurian data sensitif, dan bahkan dapat membahayakan sistem secara keseluruhan.
Untuk mencegah SSTI, penting untuk memastikan bahwa semua masukan pengguna difilter dan divalidasi sebelum dieksekusi. Selain itu, pengembang juga harus memastikan bahwa sintaks template yang digunakan aman dan tidak memungkinan pengguna memasukkan kode jahat.