Introduction

Dans cette présentation vidéo, nous avons abordé les méthodes manuelles et automatiques pour détecter l'injection de modèle côté serveur ou SSTI. Nous avons utilisé la salle ZTH : Obscure Web Vulns de TryHackMe .

SSTI ou injection de modèle côté serveur

Un moteur de modèles permet aux développeurs d'utiliser des pages HTML statiques avec des éléments dynamiques. Prenons par exemple une page profile.html statique, un moteur de modèle permettrait à un développeur de définir un paramètre de nom d'utilisateur, qui serait toujours défini sur le nom d'utilisateur de l'utilisateur actuel.

L'injection de modèle côté serveur se produit lorsqu'un utilisateur est en mesure de transmettre un paramètre permettant de contrôler le moteur de modèle exécuté sur le serveur.

Cela introduit une vulnérabilité, car cela permet à un pirate informatique d’injecter du code modèle dans le site Web. Les effets peuvent être dévastateurs, du XSS au RCE.

Remarque : Différents moteurs de modèles ont des charges utiles d'injection différentes, mais vous pouvez généralement tester le SSTI en utilisant {{2+2}} comme test.

Obtenir les notes du certificat OSCP

Réponses

Qu'est-ce que le drapeau ?

Vidéo pas à pas

Montrer les Commentaires

Motasem

A propos de l'Auteur

Je crée des notes de cybersécurité, des notes de marketing numérique et des cours en ligne. Je fournis également des conseils en marketing numérique, y compris, mais sans s'y limiter, le référencement, les publicités Google et Meta et l'administration CRM.

Voir les Articles