SSTI atau Server Side Template Injection merupakan sebuah celah keamanan yang digunakan oleh seseorang dengan memanfaatkan template penulisan code pada sebuah libary atau framework atau project app. Dengan adanya celah ini seseorang bisa saja menggunakannya untuk mendapatkan hasil dari sebuah object pada library atau framework atau project pada aplikasi dan efek paling parah yaitu hingga mendapatkan akses ke server atau serangan RCE(Remote Command Execution).
Cara kerja
Salah satu cara kerja dari serangan SSTI yaitu dengan cara melakukan rendering nilai yang didapatkan dari pengguna dan nantinya akan dirender oleh sisi aplikasi server. Terdapat banyak sekali payload yang dapat digunakan untuk mengecek kerentanan SSTI seperti:
{{config}}
{{2*2}}
${2*2}
${self}
dan masih banyak lagi.
Pencegahan
Pencegahan yang paling efektif yaitu dengan melakukan validasi terhadap nilai yang diinputkan oleh pengguna untuk mengurangi risiko dari kerentanan ini, serta tidak melakukan rendering terhadap nilai tanpa adanya prosedur yang bisa dibilang aman. Salah satu validasi yang dapat digunakan yaitu seperti:
1. Mengecek nilai bukan code
2. Mengecek nilai hanya teks biasa
dan lain-lain.
Kesimpulan
Kesimpulan dari celah keamanan ini yaitu perlu adanya perbaikan yang signifikan pada sisi validasi di server agar celah ini tidak dimanfaatkan oleh seseorang dan digunakan untuk hal-hal yang menimbulkan kerugian untuk kedepannya.Untuk lebih jelasnya dapat teman-teman tanyakan dikolom komentar terimakasih. Admin@zi
No comments:
Post a Comment