Exploitation des injections de template dans Django

Magazine
Marque
MISC
Numéro
93
Mois de parution
septembre 2017
Auteurs
Par
Berthaux Clément
Spécialité(s)
Pentest
Sécurité du code
Tag(s)
Django
vulnérabilités


Résumé

Il n'est pas rare, lors d'un test d'intrusion sur une application web, de découvrir des vulnérabilités de type injection de template côté serveur. Suivant le moteur de templating utilisé, l'exploitation peut être plus ou moins ardue. Cet article propose des techniques d'exploitation appliquées aux moteurs utilisés par le framework Django.


 

1. Introduction

Si les applications développées en Python ne sont pas la toute dernière mode en termes de technologie de développement web, on en croise tout de même de plus en plus souvent en test d'intrusion. Généralement, ces applications s'articulent autour de frameworks tels que Flask [1] ou Django [2] qui servent du contenu HTML généré depuis des templates.

Cette utilisation des moteurs de templating dans le cadre des applications web ouvre la voie à des vulnérabilités qui restent méconnues : les injections de template ou server side template injections (SSTI).

Cette vulnérabilité peut être le fruit d'un mauvais traitement des entrées utilisateur ou de la présence de fonctionnalités avancées, mais dangereuses telle que la possibilité, dans une application web, de gérer des…

La suite est réservée aux abonnés. Il vous reste 95% à découvrir.
  • Accédez à tous les contenus de Connect en illimité
  • Découvrez des listes de lecture et des contenus Premium
  • Consultez les nouveaux articles en avant-première
Envie de lire la suite ? Rejoignez Connect
Je m'abonne maintenant


Article rédigé par

Berthaux Clément

Berthaux Clément
2 articles

Les listes de lecture

Sécurité Windows : Active Directory

11 article(s) - ajoutée le 01/07/2020
Sécurité réseau
Clé de voûte d'une infrastructure Windows, Active Directory est l'une des cibles les plus appréciées des attaquants. Les articles regroupés dans cette liste vous permettront de découvrir l'état de la menace, les attaques et, bien sûr, les contre-mesures.

Sécurité des mobiles

8 article(s) - ajoutée le 13/10/2020
Mobilité Sécurité système
Découvrez les méthodologies d'analyse de la sécurité des terminaux mobiles au travers d'exemples concrets sur Android et iOS.

Cryptographie appliquée

10 article(s) - ajoutée le 13/10/2020
Crypto
Vous retrouverez ici un ensemble d'articles sur les usages contemporains de la cryptographie (whitebox, courbes elliptiques, embarqué, post-quantique), qu'il s'agisse de rechercher des vulnérabilités ou simplement comprendre les fondamentaux du domaine.
Plus de listes de lecture