原创Notes SSTI

SSTI

发表于2025-04-24更新于2025-08-02

字数总计:143阅读时长:1分钟兰州

SSTI

EZL1NG2025-04-242025-08-02

SSTI

什么是 SSTI

SSTI（Server Side Template Injection，服务器端模板注入）服务端接收攻击者的输入，将其作为 Web 应用模板内容的一部分
在进行目标编译渲染的过程中，进行了语句的拼接，执行了所插入的恶意内容
从而导致信息泄露、代码执行、GetShell 等问题，其影响范围取决于模版引擎复杂性

各语言框架 SSTI

PHP：smarty、twig
Python：jinja2、mako、tornad、Django
java：Thymeleaf、jade、velocity、FreeMarker

Engine	Language	Burp	ZAP	tplmap	site done	known exploit	port	tags
jinja2	Python	√	√	√	√	√	5000
Mako	Python	√	√	√	√	√	5001	$

EZL1NG

热爱漫无边际生活自有分寸

打赏作者

感谢你赐予我前进的力量

微信
支付宝

赞赏者名单

因为你们的支持让我意识到写文章的价值🙏

本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 EZL1NG！