技術部の松永です。 「サーバーサイド・テンプレート・インジェクション」という脆弱性をご存じでしょうか。 Webアプリケーションの開発やセキュリティテストに関わったことのある方でも、あまり聞き馴染みの無い脆弱性ではないかと思います。 サーバーサイド・テンプレート・インジェクション(Server-Side Template Injection:以後SSTIと表記)はサーバー内で任意の処理を実行される可能性のある非常に危険な脆弱性で、近年研究が進んでおり、PayPalやUberなど著名なサービスで実際に検出された事例があります。 弊社のWebアプリケーション診断サービスでもSSTI脆弱性を検出すべく研究を行い、オープンソースの脆弱性スキャナ開発に貢献しました。 本稿ではSSTI脆弱性の解説と、弊社の取り組みについて紹介します。 Server-Side Template Injectionとは 「
