Server-Side Template Injection (SSTI)
Server-Side Template Injection (SSTI) är en sårbarhet i webbapplikationer som kan orsaka problem för både webbplatsens ägare och användare. Det uppstår när en webbapplikation som använder sig av mallar eller templates injiceras med skadlig kod. Denna kod kan användas för att stjäla användardata, krascha webbsidan eller till och med ta över hela webbplatsen.
För att förklara SSTI för ett barn: Tänk dig att du har en duk och olika färger av färgpennor. Du viker duken på mitten och ritar något på ena halvan. När du vecklar upp den igen har samma ritning också hamnat på den andra halvan, som du inte har ritat på. Det är ungefär vad som händer med SSTI. Mallarna är duken och koden som injiceras är färgen. Istället för att rita med färgpennan på duken, så gör du det genom att injicera skadlig kod i webbapplikationens mallar.
För att undvika SSTI måste webbapplikationer kontrollera all användarinput och se till att det inte finns några potentiellt farliga kodsträngar som skadliga användare kan injicera. Detta görs genom att använda sig av tillförlitliga mall-motorer och korrekt programmeringsteknik.