SSTI

SSTI

💡 SSTI (Server-Side Template Injection) 심층 분석 및 웹 인프라 보안 실무 가이드 (Master Spec)📌 핵심 요약 (TL;DR)본질: 웹 애플리케이션이 사용자 입력값을 템플릿 엔진(Jinja2, Twig, Spring Thymeleaf, Node.js EJS 등)의 데이터(Context) 변수로 전달하지 않고, 템플릿 소스 코드 자체에 문자열로 직접 병합(Concatenation)할 때 발생하는 L7 애플리케이션 계층의 치명적 취약점임.위협 및 목적: XSS(Cross-Site Scripting)가 클라이언트(브라우저)를 타겟으로 한다면, SSTI는 서버 측(Server-Side) 템플릿 엔진의 파싱 로직을 탈취하여 서버 커널에 직접 운영체제 명령어(OS Comm..