本論文は、テンプレートエンジンの包括的な調査を行い、特にリモートコード実行(RCE)の脆弱性に焦点を当てている。
まず、テンプレートエンジンの広範な採用と、サーバサイドテンプレートインジェクション(SSTI)に関連する実際の事例や一般的な脆弱性について説明する。
次に、テンプレートエンジンの基本的な仕組みと、RCEにつながるSSTIの発生原因を詳しく解説する。具体的な攻撃例を示しながら、なぜRCEが多くのテンプレートエンジンで可能になるのかを説明する。
その後、SSTIに関する先行研究を概観し、検出ツールの機能と限界について述べる。
最後に、RCEの4つのカテゴリを定義し、それぞれに対するテンプレートエンジンの防御策を説明する。さらに、34のテンプレートエンジンを分析した結果を示し、RCEの実態と防御の課題について考察する。
本論文は、ウェブアプリケーションのセキュリティ強化に向けて、テンプレートエンジンの脆弱性とその対策に関する包括的な知見を提供している。
Para outro idioma
do conteúdo fonte
arxiv.org
Principais Insights Extraídos De
by Lorenzo Pisu... às arxiv.org 05-03-2024
https://arxiv.org/pdf/2405.01118.pdfPerguntas Mais Profundas