Server-Side Template Injection
Was ist Server-Side Template Injection?
Server-Side Template InjectionAngriff, der Template-Engine-Syntax in nicht vertrauenswürdige Eingaben einschleust und beim Rendern des Templates serverseitige Codeausführung erlaubt.
Server-Side Template Injection (SSTI) tritt auf, wenn Benutzereingaben in ein Template konkateniert werden, das von Engines wie Jinja2, Twig, Freemarker, Velocity oder ERB verarbeitet wird. Viele Engines erlauben in Ausdrücken den Zugriff auf Objekte und Methodenaufrufe, sodass Payloads wie {{7*7}} oder ${...} Umgebungsvariablen lesen, den Objektgraphen durchlaufen und letztlich beliebigen Code oder Betriebssystembefehle ausführen können. Die Folgen reichen von Datenoffenlegung bis zur vollständigen Serverübernahme. Schutzmaßnahmen sind, Benutzerdaten ausschließlich als Template-Variablen zu übergeben (nie als Template selbst), gesandboxte oder logikfreie Engines zu verwenden, Template-Namen per Allowlist zu beschränken, kontextspezifische Output-Codierung anzuwenden und die Anwendung mit minimalen Rechten zu betreiben.
● Beispiele
- 01
Ein Name-Feld, das mit Jinja2 gerendert wird, liefert 49 zurück, wenn der Benutzer {{7*7}} eingibt, und bestätigt damit SSTI.
- 02
Eine Freemarker-Template-Injection, die Runtime.exec aufruft, um eine Reverse Shell auf dem Server zu starten.
● Häufige Fragen
Was ist Server-Side Template Injection?
Angriff, der Template-Engine-Syntax in nicht vertrauenswürdige Eingaben einschleust und beim Rendern des Templates serverseitige Codeausführung erlaubt. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet Server-Side Template Injection?
Angriff, der Template-Engine-Syntax in nicht vertrauenswürdige Eingaben einschleust und beim Rendern des Templates serverseitige Codeausführung erlaubt.
Wie schützt man sich gegen Server-Side Template Injection?
Schutzmaßnahmen gegen Server-Side Template Injection kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Server-Side Template Injection?
Übliche alternative Bezeichnungen: SSTI, Template-Injection.