一文区分SSTI 和 CSTI

前言

有时,SSTI(服务器端模板注入)和 CSTI(客户端模板注入)可能会由于它们相似的负载语法而混淆。这种混乱可能会导致渗透测试人员浪费时间尝试实现反向 shell,即使payload仅限于客户端。

定义

𝗦𝗲𝗿𝘃𝗲𝗿-𝘀𝗶𝗱𝗲 𝘁𝗲𝗺𝗽𝗹𝗮𝘁𝗲 𝗶𝗻𝗷𝗲𝗰𝘁𝗶𝗼𝗻 指可能发生使用服务器端模板引擎的 Web 应用程序。它涉及代码注入攻击,攻击者可以在服务器端模板中注入并执行恶意代码。

𝗖𝗹𝗶𝗲𝗻𝘁 𝗦𝗶𝗱𝗲 𝗧𝗲𝗺𝗽𝗹𝗮𝘁𝗲 𝗜𝗻𝗷𝗲𝗰𝘁𝗶𝗼𝗻 是一个安全问题,攻击者的输入是注入页面并由客户端 JavaScript 库处理。

TL;DR: SSTI 允许在远程服务器上执行代码,而 CSTI 允许在受害者端【客户端】执行任意 JavaScript 代码。

一些例子

SSTI

假设一个使用服务器端模板引擎的 Web 应用程序,允许用户提交网站上显示的评论。模板引擎支持模板内的变量和表达式。

template = "Your comment is: {{ comment }}"rendered = template.render(comment=comment_input)

如果应用程序无法正确验证和清理用户输入,攻击者可以通过将恶意代码注入评论输入字段来利用此漏洞。

如果您提交 {{7*7}} 作为评论,结果将是:

Your comment is: 49

此漏洞可能会导致代码执行,如以下payload所示:

{{ user.__class__.__mro__[1].__subclasses__()[407]("cat /etc/passwd", shell=True, stdout=-1).communicate() }}

payload尝试在服务器上执行命令 cat /etc/passwd。如果服务器环境允许执行此类命令并且模板引擎容易受到 SSTI 的影响,则 /etc/passwd 文件的内容可能会显示为payload的结果。

CSTI

假设您有一个使用 AngularJS 的 Web 应用程序。在 HTML 页面中,只要将特殊属性应用于标签,AngularJS 就会分析该标签的内容并根据需要进行更改。在带有属性的标签内,AngularJS 将 {{}} 中的任何内容视为可执行代码或变量名称。

<h1>Hello, {{name}}</h1>

此漏洞的测试遵循与 SSTI 类似的过程。解释器期望双花括号之间有可执行代码,并执行该代码。

如果输入未正确过滤,提交 {{7*7}} 将导致以下输出:

Hello, 49.

这就是可能造成混乱的地方。在尝试实现代码执行之前,请检查浏览器中的 JS 库是否未处理此变量。

例如,如果这是 CSTI,您可以继续使用 XSS payload,比如弹个窗。

{{constructor.constructor('alert(1)')()}}
相关推荐
hgdlip9 分钟前
家里电脑ip地址怎么设置?详细指导
网络·tcp/ip·智能路由器·家里电脑
Lizhihao_13 分钟前
JAVA-队列
java·开发语言
denghai邓海13 分钟前
红黑树删除之向上调整
python·b+树
喵叔哟23 分钟前
重构代码之取消临时字段
java·前端·重构
远望清一色32 分钟前
基于MATLAB边缘检测博文
开发语言·算法·matlab
封步宇AIGC39 分钟前
量化交易系统开发-实时行情自动化交易-3.4.1.2.A股交易数据
人工智能·python·机器学习·数据挖掘
何曾参静谧40 分钟前
「Py」Python基础篇 之 Python都可以做哪些自动化?
开发语言·python·自动化
Prejudices44 分钟前
C++如何调用Python脚本
开发语言·c++·python
nnloveswc1 小时前
PTE-中间件安全
安全
我狠狠地刷刷刷刷刷1 小时前
中文分词模拟器
开发语言·python·算法