Template Injection

Le Server-Side Template Injection (SSTI) est une vulnérabilité critique d'application web qui se produit lorsque l'entrée utilisateur est intégrée directement dans les moteurs de templates côté serveur sans assainissement approprié. Contrairement aux attaques par injection côté client, le SSTI permet aux attaquants d'exécuter du code arbitraire sur le serveur web lui-même, en faisant l'une des classes de vulnérabilités les plus dangereuses dans les applications web modernes.

Comment fonctionne le Server-Side Template Injection

Les applications web utilisent couramment des moteurs de templates comme Jinja2, Twig, Freemarker et Velocity pour générer dynamiquement des pages HTML. Ces moteurs traitent une syntaxe de template - des expressions spéciales encadrées par des délimiteurs comme {{ }} ou <% %> - et les remplacent par des valeurs calculées avant d'envoyer la page à l'utilisateur. Quand les développeurs insèrent directement une entrée contrôlée par l'utilisateur dans une chaîne de template plutôt que de la passer comme paramètre de données, le moteur de templates interprète cette entrée comme du code exécutable.

Par exemple, si un système de tickets de support passe la description d'un client à travers un template Jinja2 sans assainissement, un attaquant pourrait soumettre des expressions de template comme {{7*7}} pour tester le SSTI. Si l'application retourne 49 au lieu de la chaîne littérale, le moteur de templates traite l'entrée comme du code. À partir de là, les attaquants peuvent escalader vers la lecture de fichiers, l'accès aux variables d'environnement et l'exécution de code à distance complète sur le serveur.

Impact réel du SSTI

Des vulnérabilités de Server-Side Template Injection ont été découvertes dans des plateformes et frameworks majeurs. Des cas réels notables incluent des vulnérabilités dans les systèmes basés sur Jinja2 d'Uber, les templates Liquid de Shopify et de nombreuses applications d'entreprise. L'impact est sévère car le SSTI mène souvent à la compromission complète du serveur - les attaquants peuvent lire des fichiers de configuration sensibles, accéder aux bases de données, pivoter vers les réseaux internes et établir des backdoors persistantes.

Prévention et atténuation

La défense la plus efficace contre le SSTI est de ne jamais concaténer les entrées utilisateur dans les chaînes de template. Passez plutôt les données utilisateur comme variables de contexte à la fonction de rendu du moteur de templates. Les protections supplémentaires incluent l'utilisation d'environnements de templates sandboxés, l'implémentation d'une validation stricte des entrées et le déploiement de pare-feu d'applications web (WAF) avec des règles de détection SSTI. Des évaluations de sécurité régulières testant spécifiquement l'injection de templates sont essentielles pour les organisations utilisant le rendu basé sur les templates.