Server-Side Template Injection

Os dados controlados pelo usuário são usados como um modelo do mecanismo de modelo, que permite que invasores acessem o contexto do modelo e, em alguns casos, injetem e executem código arbitrário no servidor de aplicativos.

Mecanismos de modelo são usados para renderizar conteúdo usando dados dinâmicos. Esses dados de contexto normalmente são controlados pelo usuário e formatados pelo modelo para gerar páginas da Web, e-mails, entre outros. Os mecanismos de modelo permitem que expressões de linguagem poderosas sejam usadas em modelos para renderizar conteúdo dinâmico, processando os dados de contexto com construções de código como condicionais, loops etc. Se um invasor puder controlar o modelo a ser renderizado, poderá injetar expressões que exponham dados de contexto ou até executar comandos arbitrários no servidor.

Exemplo 1: O exemplo a seguir mostra como um modelo é recuperado de uma solicitação HTTP e renderizado.

app.get('/', function(req, res){
    var template = _.template(req.params['template']);
    res.write("<html><body><h2>Hello World!</h2>" + template() + "</body></html>");
});

O Example 1 usa Underscore.js como o mecanismo de modelo em um aplicativo Node.js. Nesse mecanismo, um invasor pode enviar o seguinte modelo para executar comandos arbitrários no servidor:

<% cp = process.mainModule.require('child_process');cp.exec(<COMMAND>); %>

Os dados controlados pelo usuário são usados como um modelo do mecanismo de modelo, permitindo que os invasores acessem o contexto do modelo e, em alguns casos, injetem e executem código arbitrário no servidor de aplicativos.

Mecanismos de modelo são usados para renderizar conteúdo usando dados dinâmicos. Esses dados de contexto normalmente são controlados pelo usuário e formatados pelo modelo para gerar páginas da Web, emails e semelhantes. Os mecanismos de modelo permitem que expressões de linguagem poderosas sejam usadas em modelos para renderizar conteúdo dinâmico, processando os dados de contexto com construções de código como condicionais, loops etc. Se um invasor puder controlar o modelo a ser renderizado, poderá injetar expressões que exponham dados de contexto ou até executar comandos arbitrários no servidor.

Exemplo 1: O exemplo a seguir mostra como um modelo é recuperado de uma solicitação HTTP e renderizado usando o mecanismo de modelo Jinja2.

from django.http import HttpResponse
from jinja2 import Template as Jinja2_Template
from jinja2 import Environment, DictLoader, escape

def process_request(request):
    # Load the template
    template = request.GET['template']
    t = Jinja2_Template(template)
    name = source(request.GET['name'])
    # Render the template with the context data
    html = t.render(name=escape(name))
    return HttpResponse(html)

O Example 1 usa Jinja2 como o mecanismo de modelo. Nesse mecanismo, um invasor pode enviar o seguinte modelo para ler arquivos arbitrário do servidor:

template={{''.__class__.__mro__[2].__subclasses__()[40]('/etc/passwd').read()}}

Exemplo 2: O exemplo a seguir mostra como um modelo é recuperado de uma solicitação HTTP e renderizado usando o mecanismo de modelo Django.

from django.http import HttpResponse
from django.template import Template, Context, Engine

def process_request(request):
    # Load the template
    template = source(request.GET['template'])
    t = Template(template)
    user = {"name": "John", "secret":getToken()}
    ctx = Context(locals())
    html = t.render(ctx)
    return HttpResponse(html)

O Example 2 usa Django como o mecanismo de modelo. Nesse mecanismo, um invasor não conseguirá executar comandos arbitrários, mas poderá acessar todos os objetos no contexto do modelo. Neste exemplo, um token secreto está disponível no contexto e poderia ser vazado pelo invasor.