一文区分SSTI 和 CSTI

前言

有时,SSTI(服务器端模板注入)和 CSTI(客户端模板注入)可能会由于它们相似的负载语法而混淆。这种混乱可能会导致渗透测试人员浪费时间尝试实现反向 shell,即使payload仅限于客户端。

定义

𝗦𝗲𝗿𝘃𝗲𝗿-𝘀𝗶𝗱𝗲 𝘁𝗲𝗺𝗽𝗹𝗮𝘁𝗲 𝗶𝗻𝗷𝗲𝗰𝘁𝗶𝗼𝗻 指可能发生使用服务器端模板引擎的 Web 应用程序。它涉及代码注入攻击,攻击者可以在服务器端模板中注入并执行恶意代码。

𝗖𝗹𝗶𝗲𝗻𝘁 𝗦𝗶𝗱𝗲 𝗧𝗲𝗺𝗽𝗹𝗮𝘁𝗲 𝗜𝗻𝗷𝗲𝗰𝘁𝗶𝗼𝗻 是一个安全问题,攻击者的输入是注入页面并由客户端 JavaScript 库处理。

TL;DR: SSTI 允许在远程服务器上执行代码,而 CSTI 允许在受害者端【客户端】执行任意 JavaScript 代码。

一些例子

SSTI

假设一个使用服务器端模板引擎的 Web 应用程序,允许用户提交网站上显示的评论。模板引擎支持模板内的变量和表达式。

template = "Your comment is: {{ comment }}"rendered = template.render(comment=comment_input)

如果应用程序无法正确验证和清理用户输入,攻击者可以通过将恶意代码注入评论输入字段来利用此漏洞。

如果您提交 {{7*7}} 作为评论,结果将是:

Your comment is: 49

此漏洞可能会导致代码执行,如以下payload所示:

{{ user.__class__.__mro__[1].__subclasses__()[407]("cat /etc/passwd", shell=True, stdout=-1).communicate() }}

payload尝试在服务器上执行命令 cat /etc/passwd。如果服务器环境允许执行此类命令并且模板引擎容易受到 SSTI 的影响,则 /etc/passwd 文件的内容可能会显示为payload的结果。

CSTI

假设您有一个使用 AngularJS 的 Web 应用程序。在 HTML 页面中,只要将特殊属性应用于标签,AngularJS 就会分析该标签的内容并根据需要进行更改。在带有属性的标签内,AngularJS 将 {{}} 中的任何内容视为可执行代码或变量名称。

<h1>Hello, {{name}}</h1>

此漏洞的测试遵循与 SSTI 类似的过程。解释器期望双花括号之间有可执行代码,并执行该代码。

如果输入未正确过滤,提交 {{7*7}} 将导致以下输出:

Hello, 49.

这就是可能造成混乱的地方。在尝试实现代码执行之前,请检查浏览器中的 JS 库是否未处理此变量。

例如,如果这是 CSTI,您可以继续使用 XSS payload,比如弹个窗。

{{constructor.constructor('alert(1)')()}}
相关推荐
Domain-zhuo几秒前
Git常用命令
前端·git·gitee·github·gitea·gitcode
又蓝14 分钟前
使用 Python 操作 Excel 表格
开发语言·python·excel
余~~1853816280026 分钟前
稳定的碰一碰发视频、碰一碰矩阵源码技术开发,支持OEM
开发语言·人工智能·python·音视频
菜根Sec30 分钟前
XSS跨站脚本攻击漏洞练习
前端·xss
0zxm36 分钟前
06 - Django 视图view
网络·后端·python·django
m0_7482571837 分钟前
Spring Boot FileUpLoad and Interceptor(文件上传和拦截器,Web入门知识)
前端·spring boot·后端
桃园码工1 小时前
15_HTML5 表单属性 --[HTML5 API 学习之旅]
前端·html5·表单属性
Am心若依旧4091 小时前
[c++11(二)]Lambda表达式和Function包装器及bind函数
开发语言·c++
明月看潮生1 小时前
青少年编程与数学 02-004 Go语言Web编程 20课题、单元测试
开发语言·青少年编程·单元测试·编程与数学·goweb
hao_wujing1 小时前
网络安全攻防演练中的常见计策
安全·web安全