一文区分SSTI 和 CSTI

文章预览

扫码领资料 获网安教程 来 Track安全社区投稿~   千元稿费！还有保底奖励~（https://bbs.zkaq.cn） 前言 有时，SSTI（服务器端模板注入）和 CSTI（客户端模板注入）可能会由于它们相似的负载语法而混淆。这种混乱可能会导致渗透测试人员浪费时间尝试实现反向 shell，即使payload仅限于客户端。 img 定义 𝗦𝗲𝗿𝘃𝗲𝗿-𝘀𝗶𝗱𝗲 𝘁𝗲𝗺𝗽𝗹𝗮𝘁𝗲 𝗶𝗻𝗷𝗲𝗰𝘁𝗶𝗼𝗻 指可能发生使用服务器端模板引擎的 Web 应用程序。它涉及代码注入攻击，攻击者可以在服务器端模板中注入并执行恶意代码。 𝗖𝗹𝗶𝗲𝗻𝘁 𝗦𝗶𝗱𝗲 𝗧𝗲𝗺𝗽𝗹𝗮𝘁𝗲 𝗜𝗻𝗷𝗲𝗰𝘁𝗶𝗼𝗻 是一个安全问题，攻击者的输入是注入页面并由客户端 JavaScript 库处理。 TL;DR：  SSTI 允许在远程服务器上执行代码，而 CSTI 允许在受害者端【客户端】执行任意 J ………………………………