web1 SSTI 란 무엇일까?? 바로 본론부터 들어가자. SSTI 취약점 이란 Server Side Template Injection 의 약자로서, 웹에서 발생하는 보안 취약점 중 하나로, 사용자의 입력을 적절하게 필터링 또는 이스케이프 하지 않고 서버 측 템플릿 엔진에 삽입되는 상황을 의미합니다. 이 취약점은 웹 에서 템플릿 엔진을 사용하는 경우에 발생할 수 있습니다. SSTI 취약점의 대표적인 표현식 '{{...}}'을 이해하기위해 예시 사진을 넣어보았다. 사용자에게 입력 받은 값이 age 변수에 삽입되고 삽입된 age 값이 Template 구문에 의해 해석되어 HTML 문서에 삽입되는 구조이다. 위 사진은 코드에 사용자가 상수와 사칙 연산을 입력했을 때의 차이를 보여주고 있다. 사용자가 상수를 입력했을때는 age 변수 값을 그대로.. 2023. 7. 19. 이전 1 다음