Server Side Template Injection
Quest articol chì l'è scrivud in lombard, con la Noeuva Ortografia Lombarda |
El Server Side Template Injection a l'è una tecnega de iniezzion de codes lato server doperabel quand che un'aplicazzion la dopera un sistema de template per responder de manera dinamega a una suplega.
A l'è possibel, cont un payload cread ben e che l'è doperad del motor di template, fà eseguì del codes arbitrari in su la machina per fà di operazzion grame compagn de scancellà di file o de dervì una reverse shell.
De solet, per permeter una SSTI, se doperen di eror in l'implementazzion di software che permeten de doperà i fonzion per eseguì di comand in del sistema senza doperàj diretament, roba che l'è blocada, per esempi a doperà una libraria comuna 'me lista e scalàlla fina a trovà el modul bon de invià di comand.
Despess i vulnerabilità SSTI poden vesser scambiad per i XSS, che però inn per la pupart lato client. A l'è possibel che un pont d'entrada per una XSS el sibia el midem che per una SSTI. A l'è retegnud assee gram de impedìlla al dì d'incoeu e i mesure che se doperen inn pussee de conteniment, oltra a 'n desvilup pussee bon e che 'l fa ballà l'oeugg in su la sigurezza e la separazzion in tra el codes segur e l'input de foeura.