안녕하세요! 오늘은 웹 해킹 기법 중 SSTI라는 공격기법에 대하여 알아보고 직접 만든 사이트로 실습&보안조치까지 해보겠습니다. 오늘 내용은 기본적으로 웹 템플릿 엔진에 대한 이해가 필요합니다.1. 웹 템플릿 엔진 이란? 각 웹 개발 언어별로 템플릿 엔진이 다릅니다.저는 이번시간에 PHP기반 템플릿 엔진인 TWIG에 대하여 다루겠습니다! 2. SSTI (Server-Side Template Injection) 이란? SSTI(Server-Side Template Injection)란, 웹 템플릿 엔진을 사용하는 웹 서비스에서 악의적인 템플릿 구문을 삽입하여 서버 내에서 악의적인 동작을 수행하도록 하는 공격입니다! 이 취약점으로 인하여 기본적으로 XSS부터 시작하여 CSRF , 더 나아가 RCE 까지도 ..

안녕하세요! 최근 SSTI 라는 해킹기법을 공부하다가 좀 더 정확히 이해하고 싶어서 직접 사이트에 구현을 해보았습니다!그리하여 오늘은 템플릿엔진인 TWIG 설치법에 대하여 포스팅하려고 합니다!우선 템플릿엔진이란 무엇인지, 왜 필요한지 간단히 알아보고 갑시다! 1. 템플릿 엔진이란?웹 템플릿 엔진이란?웹 템플릿이란 지정된 템플릿 양식과 데이터가 합쳐져서 HTML 문서를 만들 때 사용되는 틀입니다!예를 들어 한국어 영어 일본어 페이지를 만들고 싶은데 3개의 PHP 파일을 만드는 건 비효율적일 것입니다.이럴 때 1개의 틀(템플릿)을 짜놓고 안에 내용만 동적으로 변화시킨다면 좀 더 가벼운 코딩을 할 수 있게 되겠죠!이렇게 효율적으로 웹사이트를 구현할 수 있게 해 주는 것이 웹 템플릿 엔진입니다. 각 웹 개발..