서버 측 템플릿 주입
설명
애플리케이션은 서버 측 템플릿 주입(SSTI) 취약점이 있으며, 이를 통해 공격자가 서버 측에서 템플릿을 조작할 수 있습니다. 신뢰되지 않는 사용자 입력이 적절한 살균 처리 없이 서버 측 템플릿에 직접 사용되면 이 취약점이 발생합니다. 공격자는 이 취약점을 이용하여 템플릿에 임의의 코드를 삽입하고 실행하여 시스템의 무결성과 기밀성을 침해할 수 있습니다.
조치
사용자가 제어하는 데이터는 표현 언어 문장을 구성하는 일부로 사용될 때 항상 특별한 요소가 중화되어야 합니다. 사용자가 제어하는 데이터를 적절하게 중화하는 방법에 대해서는 사용 중인 템플릿 시스템의 문서를 참조하십시오.
Details
| ID | Aggregated | CWE | Type | Risk |
|---|---|---|---|---|
| 1336.1 | false | 1336 | Active | high |
도움말