웹 보안에서 SSTI(Server-Side Template Injection)란?

Q: 웹 보안에서 SSTI(Server-Side Template Injection)란?

서버 측 템플릿 엔진에 악의적 표현식을 삽입하여 서버에서 임의 코드를 실행하는 공격이다 SSTI는 사용자 입력이 서버 측 템플릿(Jinja2, Twig, EJS 등)에 직접 삽입될 때 발생합니다. 공격자가 템플릿 문법(예: {{7*7}})을 삽입하면 서버에서 코드가 실행되어, 파일 읽기, 명령 실행 등 심각한 피해를 줄 수 있습니다. 사용자 입력을 템플릿 문법과 분리하여 방어합니다.

어려움 MDN Web Docs

보기 및 정답

A 서버 측 템플릿 엔진에 악의적 표현식을 삽입하여 서버에서 임의 코드를 실행하는 공격이다

B 클라이언트 측 CSS 템플릿 파일을 수정하여 웹 페이지의 시각적 레이아웃을 변조하는 공격이다

C HTML 태그를 사용자 입력에 삽입하여 브라우저에서 악성 스크립트를 실행하는 XSS의 다른 이름이다

D 서버의 SSL/TLS 인증서를 위조된 인증서로 교체하여 중간자 공격을 수행하는 보안 공격이다

해설

SSTI는 사용자 입력이 서버 측 템플릿(Jinja2, Twig, EJS 등)에 직접 삽입될 때 발생합니다. 공격자가 템플릿 문법(예: {{7*7}})을 삽입하면 서버에서 코드가 실행되어, 파일 읽기, 명령 실행 등 심각한 피해를 줄 수 있습니다. 사용자 입력을 템플릿 문법과 분리하여 방어합니다.

코딩, 제대로 배우고 싶다면?

개념 확인은 퀴즈로, 실력은 실전 프로젝트로.
투더제이 코딩클래스에서 시작하세요.

정규반 살펴보기

로그인

추가 정보 입력

회원가입

비밀번호 찾기

웹 보안에서 SSTI(Server-Side Template Injection)란?

해설

코딩, 제대로 배우고 싶다면?

관련 문제

모두를 위한 진짜 쎈 바이브코딩