Flask (Jinja2) SSTI (Server Side Template Injection)

신경방 (@positiveWand)

요약

서버 탬플릿 엔진은 사용자로부터 요청이 들어올때마다 작성된 템플릿 파일을 렌더링하고 그 결과를 사용자에게 반환한다.
서버는 서버에 저장된 데이터, 사용자 요청과 함께 전달받은 데이터 등과 같이 서버에서 사용가능한 데이터들을 이용해 렌더링을 수행한다.
이 취약점은 Flask와 Flask에서 사용하는 템플릿 엔진 "Jinja2"를 사용할 때 발생. 사용자가 잘 구성한 렌더링 코드 문자열을 서버에 전달하고 서버가 이 문자열을 그대로 템플릿 엔진에 삽입하여 렌더링을 수행한다면 사용자가 전달한 임의의 Python 코드가 실행될 수 있다.

환경 구성 및 실행

docker compose up -d 를 실행하여 테스트 환경을 실행.
http://your-ip:8000/?name={{233*233}}에 접속하여 54289가 출력되는지 확인하여 SSTI 취약점이 존재함을 확인합니다.
python poc.py를 실행하여 공격을 수행하는 URL을 확인.
해당 URL에 접속하면 삽입한 코드가 실행되어 서버 프로세스의 id가 출력되는 것을 확인할 수 있음.

+) poc.py의 script 변수의 값을 원하는 Python 코드로 바꾸면 해당 코드가 서버에서 실행된다. (기본 코드는 서버 프로세스의 id를 출력하는 코드)

결과

정리

이 취약점은 사용자가 서버에서 임의의 코드를 실행하도록 할 수 있게 만들기 때문에 위험하다. 안전한 웹 서비스 운영을 위해서는 서버 개발자가 혹은 라이브러리, 프레임워크에서 사용자가 전달한 데이터가 템플릿 코드인지 확인하여 필터링하거나 사용자 입력 데이터가 실행으로 이어지지 않도록 해야한다.