服务端模板注入 (SSTI) - ASP.NET
服务端模板注入 (SSTI) 是一类漏洞,攻击者可以将恶意输入注入服务端模板,导致模板引擎在服务器上执行任意代码。在 ASP.NET 的语境下,如果用户输入在未经过充分过滤的情况下直接嵌入到模板中(如 Razor、ASPX 或其他模板引擎),就可能发生 SSTI。
摘要 (Summary)
ASP.NET Razor
Razor 是一种标记语法,允许您将基于服务器的代码(Visual Basic 和 C#)嵌入到网页中。
服务端模板注入 (SSTI) 是一类漏洞,攻击者可以将恶意输入注入服务端模板,导致模板引擎在服务器上执行任意代码。在 ASP.NET 的语境下,如果用户输入在未经过充分过滤的情况下直接嵌入到模板中(如 Razor、ASPX 或其他模板引擎),就可能发生 SSTI。
Razor 是一种标记语法,允许您将基于服务器的代码(Visual Basic 和 C#)嵌入到网页中。