服务器端模板注入

服务器端的模板能够方便地生成动态HTML内容，但它们也容易受到SSTI攻击的威胁。虽然服务器端的模板可以通过在服务器上直接处理用户信息来提升网页的定制性和性能，但这样的脆弱性也凸显了在网页开发中采取强有力的安全措施的重要性。

什么是服务器端模板注入？

服务器端模板注入（Server-Side Template Injection，简称SSTI）是Web应用程序中的一种严重漏洞。攻击者通过向服务器端的模板中注入恶意代码来利用这一漏洞，从而实现对服务器的未经授权的访问、数据泄露，甚至完全控制服务器。

与影响最终用户体验的客户端模板技术不同，SSTI发生在服务器内部，因此它与跨站脚本漏洞有所不同。尽管这些技术具有实用性，但在功能丰富的Web应用程序中，它们可能会无意中暴露用户的敏感信息。因此，需要采取积极的安全措施来降低SSTI带来的风险。

SST的工作原理服务器端模板)

在Web框架中，动态生成HTML最常见的方法就是使用模板。这种方法包括HTML输出的静态部分，以及描述如何插入动态内容的语法结构。

这些模板系统并不能完全防止那些心怀不轨的模板作者进行攻击。例如，一个网站不应该允许用户自行提供自己的模板，因为模板作者可以实施跨站脚本攻击，同时他们还可以获取这些模板变量中的敏感数据。

然后，这些模板引擎会处理模板文件，从而能够将动态信息填充到网页中。当发生这种情况时，模板引擎就会生成相应的HTML输出结果。HTTP请求他进来了。

一些最常用的服务器端模板引擎包括 Jinja2、Jinja、Freemaker、Mako、Velocity、Smarty、Tornado、Genshi、Twig、Mustache 等。

SSTI的工作原理服务器端模板注入)

当恶意用户被允许使用原生模板语法，将恶意代码注入到模板中时，就会引发SSTI问题。之后，这些恶意代码会在服务器端被执行。

模板引擎的作用是将固定的模板与动态数据结合在一起，从而生成网页。当用户输入信息并将其直接拼接到模板中时，就会发生SSTI攻击。这样一来，恶意用户就可以插入一些随机的模板指令，从而破坏模板引擎的功能。通常情况下，这种攻击方式会让攻击者完全控制服务器。

例如，

模板 = “用户名:” + 输入内容  渲染模板

• 在上面的例子中，“Input”是模板的一部分。因此，用户可以输入用户名，或者Web应用程序中的其他参数，比如一些任意的编码。所以，用户可以输入类似这样的内容。

用户名：{{9*9}}  用户名：81

• 如上所述，SST引擎处理输入数据{{9*9}后，输出结果为81。这表明该网络应用程序存在漏洞。
• 如果发现该网络应用程序存在漏洞，攻击者甚至可以植入恶意代码，从而获得完全的远程访问权限。例如：

关于：{{恶意代码()}}

SSTI的检测：

SSTI可以通过纯文本检测方法来识别，也可以通过代码上下文检测方法来识别。

• 纯文本检测方法——
  文本检测可以用于检测SSTI。在这种情况下，测试人员可以使用一些常用的模板表达式来进行检测。

例如：{{8*5}}、${2*7}、{{8/0}}、<%= 5/0 %>、${foobar}、{{9*9}}等。

• 代码上下文检测 –
  在这种情况下，可以使用一个有效载荷来发送错误响应。例如，HTTP GET请求参数可以用来在模板语句中插入变量。

例如：Greet_user = username  你好，user_x。

• 如果负载服务器只返回了空白的“Hello”字符串，那么测试人员就可以打破模板语句的约束，插入一个HTML标签。例如：

Greet_user = 用户名你好

• 现在，让我们来插入HTML标签吧。

Greet_user = username}}<tag>  你好，用户_x <tag>

预防措施

针对服务器端模板注入的预防措施，会因所使用的模板引擎而有所不同。不过，使用沙箱机制以及进行数据清理处理，可以有效预防这种漏洞。

• 沙箱技术 –
  它用于在网络上创建一个隔离的测试环境，该环境能够模拟最终用户的操作环境。用户可以在此环境中运行、分析或观察代码。这种方式可以避免网络中的威胁，同时也有助于检查那些不可信或未经过测试的代码。
• 消毒/清洁
  模板不应由用户手动输入来生成。用户应该仅通过模板参数来传递输入内容。在将输入内容传递给模板之前，需要先对输入内容进行净化处理，去除那些不希望出现的或具有安全隐患的字符。这样就能减少因不当操作而导致的漏洞风险。