前言
SSTI(服务器端模板注入)漏洞的根本原因是:应用程序在架构设计上违反了代码与数据分离的原则。
在服务端渲染阶段,将不可信的数据(不仅限于直接用户输入,还包括可控的间接数据)动态地拼接为模板字符串,或作为模板代码传递给了支持逻辑执行的模板引擎(或表达式语言引擎)进行解析。
由于模板引擎默认具备执行逻辑代码的能力(如调用函数、访问对象属性),且运行环境未启用安全沙箱或白名单机制进行严格限制,导致攻击者构造的恶意 Payload 被引擎误认为是合法的模板指令并直接执行,从而可能导致远程代码执行、敏感信息泄露或拒绝服务攻击。