آسیبپذیری Server-Side Template Injection (SSTI) زمانی رخ میدهد که یک برنامه وب، ورودیهای کاربر را بدون اعتبارسنجی و ایمنسازی مناسب، مستقیماً درون یک Template Engine (مانند Twig در PHP یا Jinja2 در پایتون) قرار میدهد. در این حالت، موتور قالبساز ورودی کاربر را به عنوان بخشی از کد برنامه تفسیر و اجرا میکند که میتواند منجر به افشای اطلاعات حساس یا حتی کنترل کامل سرور (RCE) شود.
درباره این چالش:
این آزمایشگاه بر اساس استاندارد جهانی OWASP WSTG (راهنمای تست امنیت وب) و شناسه WSTG-INPV-18 طراحی شده است. هدف از این محیط، شبیهسازی سناریوهای واقعی نفوذ و عبور از مکانیزمهای دفاعی است.
این لابراتوار شامل یک بخش آموزشی و دو چالش فنی است:
سطح متوسط: عبور از مکانیزم مبتنی ایجاد شده که مبتنی بر لیست سیاه کلمات کلیدی است.
سطح پیشرفته: مواجهه با فیلترینگ سختگیرانه کاراکترها و استفاده از تکنیکهای پیشرفته به همراه ترکیب با یک آسیبپذیری دیگر برای دستیابی به هدف.
درصد پیشرفت حل چالش
0%
