SSTI (Server Side Template Injection) уязвимость позволяет внедрить вредоносный код в шаблон на сайте для дальнейшего выполнения на сервере. Для обнаружения используют фаззинг, перебирая данные со специальными символами, используемых в выражениях шаблона, таких как ${{<%[%'"}}%\, чтобы получить выполнение кода или ошибку. Типичный пример проверки это выполнение математических операций в шаблоне. Чем опасно. Внедрение вредоносного кода может повлечь за собой такие последствия как: Пример реализации на платформе Hack the box...

Отвлечёмся от работы, переключимся на решение задач по информационной безопасности web-серверов. Сегодня задачка с портала root-me.org, называется "Python - Server-side Template Injection Introduction". За решение задачки дают 25 баллов, средний уровень. Сегодня мы встретимся с опасной уязвимостью типа SSTI. Server-side Template Injection (SSTI) — внедрение шаблонов на стороне сервера. Внедрение шаблонов на стороне сервера — это тип уязвимости, которая может возникнуть в веб-приложениях, когда злоумышленник может внедрить вредоносный код в шаблон на стороне сервера...