Einführung

In dieser Videoanleitung haben wir die Erkennung, Ausnutzung und Behebung der Server Side Template Injection-Sicherheitslücke behandelt.

Was ist Server Side Template Injection?
Server Side Template Injection (SSTI) ist ein Web-Exploit, der eine unsichere Implementierung einer Template-Engine ausnutzt.

Was ist eine Template-Engine?
Mit einer Vorlagen-Engine können Sie statische Vorlagendateien erstellen, die in Ihrer Anwendung wiederverwendet werden können.

Welche Auswirkungen hat SSTI?
Wie der Name schon sagt, handelt es sich bei SSTI um einen serverseitigen Exploit und nicht um einen clientseitigen Exploit wie beispielsweise Cross-Site-Scripting (XSS).

Dies bedeutet, dass Schwachstellen noch kritischer sind, da nicht ein Konto auf der Website gekapert wird (häufige Verwendung von XSS), sondern der Server gekapert wird.

Die Möglichkeiten sind endlos, das Hauptziel besteht jedoch normalerweise darin, Remotecodeausführung zu erreichen.

Holen Sie sich Hinweise zum OSCP-Zertifikat

Antworten

Welche Zeichenfolge führt dazu, dass die Anwendung einen Fehler ausgibt?
Welche Template-Engine wird in dieser Anwendung verwendet?
Wie beginnt man einen Kommentar in Jinja2?
Was ist das Ergebnis des Shell-Befehls „whoami“?
Welche Nutzlast wurde zur Bestätigung von SSTI verwendet?
Video-Anleitung

 

 

,
Anmerkungen anzeigen

Motasem

Über den Autor

Ich erstelle Notizen zur Cybersicherheit, Notizen zum digitalen Marketing und Online-Kurse. Ich biete auch Beratung zum digitalen Marketing an, einschließlich, aber nicht beschränkt auf SEO, Google- und Meta-Anzeigen und CRM-Verwaltung.

Artikel anzeigen