Server-Side Template Injection (SSTI)
Server-Side Template Injection (SSTI) - це вразливість в роботі веб-додатків, яка дає зловмиснику можливість вставити свій код в інтернет-сторінку, яка формується на сервері.
Ця вразливість виникає через нерозуміння програмістом правил роботи з шаблонами (текстовими файлами, які формують вміст інтернет-сторінок).
Зловмиснику достатньо знати діапазон можливих шаблонів і зробити спеціальний запит до сервера, в якому буде вказано його код. Цей код буде оброблений на сервері разом з іншими шаблонами і може привести до вставки шкідливого коду на інтернет-сторінку.
Наприклад, зловмисник може вставити свій код в шаблон, який відповідає за відображення імені користувача на сторінці. При наступному відвідуванні цієї сторінки, користувач може побачити не тільки своє ім’я, а й шкідливий код, який виконається в його браузері і може навіть завдати шкоди його системі.
Тому важливо розуміти правила роботи з шаблонами і вчасно виявляти та усувати SSTI-вразливості.