サーバーサイド・テンプレートインジェクション(SSTI)は、Webアプリケーションがテンプレートエンジンを使用している際に発生する脆弱性です。テンプレートエンジンは、HTMLや他の出力形式の中で動的にコンテンツを生成するために使用されますが、これにユーザー入力が適切にサニタイズ(無害化)されずに処理されると、攻撃者がテンプレートコードに悪意のあるコードを注入することが可能になります。
例:SSTIの発生例
例えば、次のようなPythonのFlaskアプリケーションを考えてみましょう。このアプリケーションは、ユーザー入力をテンプレートに直接渡しています。
from flask import Flask, request, render_template_string
app = Flask(__name__)
@app.route('/greet')
def greet():
name = request.args.get('name', '')
template = f"Hello, {name}!"
return render_template_string(template)ここで、nameパラメータにユーザーが直接値を入力できます。このアプリケーションには、SSTIの脆弱性が潜んでいます。もし攻撃者が{{ 7*7 }}と入力すると、テンプレートエンジンが式を評価し、ページに「Hello, 49!」と表示されてしまいます。
さらに悪質な攻撃者は、Pythonのコードを実行するような高度なインジェクションを行い、サーバー上で任意のコードを実行することが可能です。例えば、{{.__class__.__base__.__subclasses__()}}を利用してシステムレベルの操作を行うことさえ可能になります。
SSTIの危険性
SSTIは、リモートコード実行(RCE)を引き起こす非常に危険な脆弱性です。この攻撃に成功すると、攻撃者は以下のようなことを実行できる可能性があります。
リモートコード実行(RCE)
攻撃者は、サーバー上で任意のコードを実行できるため、システムの完全な制御を奪うことができます。
機密データの漏洩
サーバー上の環境変数やシステムファイルにアクセスし、データベースの認証情報やAPIキーなどの機密情報を盗むことが可能です。
サーバー停止や操作妨害
攻撃者がサーバー上で負荷の高い操作を実行することで、サーバーが停止したり、アプリケーションの動作が遅延する恐れがあります。
SSTIの検出方法
SSTIの脆弱性を見つけるためには、アプリケーションの動作を観察し、テンプレートエンジンが動的にコンテンツを生成する部分をチェックする必要があります。以下のような方法で検出を試みることができます。
特殊なテンプレート構文を使う
各テンプレートエンジンには、特定の構文があります。例えば、FlaskのJinja2なら{{}}、Djangoなら{% %}といったテンプレート構文を利用して、評価が行われるかどうかをテストできます。
不正な式を挿入
テンプレートエンジンに任意の式を注入し、計算式や文字列操作が実行されるかどうかを確認します。たとえば、{{ 7*7 }}などを入力して応答を観察する方法です。
セキュリティツールを使う
SSTIの脆弱性を検出するためのセキュリティスキャンツールも存在します。これらのツールを使って、アプリケーションのセキュリティをチェックできます。
SSTIの対策
SSTIを防ぐためには、いくつかの対策を講じることが重要です。以下は、SSTIを防ぐための具体的な対策です。
ユーザー入力のサニタイズとエスケープ
ユーザーからの入力をテンプレートに直接渡すことを避け、適切にエスケープするか、サニタイズ(無害化)することが大切です。特にテンプレートに組み込む前に、悪意のあるコードを排除するフィルタリングを行うことが効果的です。
テンプレートエンジンの利用方法に注意
テンプレートエンジンの中には、安全なデフォルト設定が存在する場合があります。テンプレートエンジンのセキュリティ機能や設定を確認し、推奨されるセキュリティガイドラインに従うことが重要です。
サーバーサイドでのコード実行を制限
アプリケーションでサーバーサイドコードを動的に評価する必要がない場合は、その機能を無効化しましょう。テンプレートエンジンに不必要な権限を与えず、安全な範囲で利用することが求められます。
テンプレートの安全なレンダリング
テンプレートを動的に作成せず、事前に定義されたテンプレートを利用することで、ユーザー入力が直接テンプレートに影響を与えるリスクを下げることができます。
まとめ
サーバーサイド・テンプレートインジェクション(SSTI)は、Webアプリケーションのテンプレートエンジンが悪用され、サーバー上で任意のコードが実行される脆弱性です。この攻撃により、アプリケーションは重大なリスクにさらされ、攻撃者はリモートコード実行や機密情報の漏洩を引き起こす可能性があります。
SSTIを防ぐためには、ユーザー入力のサニタイズやエスケープ、テンプレートエンジンの適切な設定、不要なコード実行の制限など、セキュリティ対策を徹底することが重要です。安全な開発環境を維持するために、SSTIのリスクを理解し、適切な対策を講じることが求められます。
