서버 측 템플릿 인젝션

서버 측 템플릿 인젝션(SSTI) 취약점에 대한 설명, 조치 방법, 관련 세부 정보 및 참고 링크를 제공합니다.

설명 # 애플리케이션이 서버 측 템플릿 인젝션(SSTI) 취약점에 노출되어 있습니다. 이 취약점은 공격자가 서버 측의 템플릿을 조작할 수 있게 합니다. 신뢰할 수 없는 사용자 입력이 적절한 검증 없이 서버 측 템플릿에서 직접 사용될 때 발생합니다. 공격자는 이 약점을 악용하여 템플릿에 임의의 코드를 주입하고 실행할 수 있으며, 이는 잠재적으로 시스템의 무결성과 기밀성을 침해할 수 있습니다. 조치 방법 # Expression Language 구문을 구성하는 데 사용될 때 사용자가 제어하는 데이터는 항상 특수 요소를 무력화해야 합니다. 사용 중인 템플릿 시스템의 문서를 참조하여 사용자가 제어하는 데이터를 올바르게 무력화하는 방법을 확인하십시오. 세부 정보 # ID 집계됨 CWE 유형 위험도 1336.1 false 1336 Active high 링크 # CWE 서버 측 템플릿 인젝션 테스트