Server-Side Template Injection (SSTI)
Server-Side Template Injection (SSTI) Türkçe’de sunucu tarafı şablon enjeksiyonu anlamına gelir. Bu, bir web uygulamasında bir korsanın kötü amaçlı kodu sunucunun şablon motoruna enjekte ederek yürütebildiği bir güvenlik açığıdır.
Bir şablon motoru, web uygulamalarındaki dinamik içeriği oluşturmak için kullanılan bir araçtır. Şablon dosyalarında yer alan belirteçlerin (genellikle süslü parantezler {} veya çift süslü parantezler ) içine yerleştirilen değişkenler, şablon motoru tarafından yorumlanır ve sonuç olarak web sayfasında görüntülenir.
Ancak, bir korsan, kötü amaçlı kodu şablon dosyasında yer alan belirteçlerin içine yerleştirerek sunucuya gönderebilir. Şablon motoru, bu kodu potansiyel olarak yürütebilir ve böylece korsanın istediği tüm işlemleri gerçekleştirebilir. Bu, kullanıcı bilgilerini çalmak, sunucu kaynaklarını kullanmak veya başka kötü amaçlar için kullanılabilir.
SSTI, web uygulamaları için ciddi bir güvenlik açığıdır ve web geliştiricileri tarafından göz önünde bulundurulmalıdır. Korunmak için, şablon dosyalarındaki kullanıcı girdileri sorguya uygun şekilde işlenmeli ve güvenliğini sağlamak için doğru seçenekler kullanılmalıdır.