tgoop.com/codeby_sec/8846
Create:
Last Update:
Last Update:
SSTImap: Утилита для обнаружения и эксплуатации уязвимостей SSTI
SSTImap — это специализированный инструмент, предназначенный для выявления и эксплуатации уязвимостей Server-Side Template Injection (SSTI) в веб-приложениях. SSTI является одним из серьезных видов атак, которые позволяют злоумышленникам внедрять и исполнять произвольный код на стороне сервера через уязвимые шаблонизаторы. Этот инструмент упрощает процесс анализа безопасности веб-приложений, выявляя уязвимости, связанные с обработкой шаблонов.
Основные возможности SSTImap
SSTImap сканирует входные точки приложения, которые могут быть подвержены атаке SSTI. Это позволяет быстро определить, какие параметры или запросы являются потенциально небезопасными.
Утилита поддерживает работу с различными движками шаблонов, включая:
▪️ Jinja2 (Python)
▪️ Twig (PHP)
▪️ Velocity (Java)
▪️ Smarty (PHP)
▪️ Freemarker (Java)
▪️ И другие.
Инструмент позволяет автоматизировать процесс проверки на наличие уязвимостей, используя заранее определенные полезные нагрузки для каждого типа движка шаблонов.
SSTImap может выполнять безопасную эксплуатацию для подтверждения уязвимости. Например, он способен внедрить команды, чтобы определить, насколько опасен выявленный вектор.
Установка SSTImap
git clone https://github.com/epinna/SSTImap.git
cd SSTImap
pip install -r requirements.txt
python sstimap.py