В этом вебинаре мы подробно рассмотрим практические основы уязвимости server-side template injection (SSTI). Данная уязвимость возникает при небезопасном использовании шаблонизаторов (Jinja, Twig и другие) в языках программирования и зачастую может привести к полной компрометации сервера.
Вебинар будет проведен с расчетом на новичков: уязвимость будет разобрана шаг за шагом, а все технические детали (например, исходный код на языке Python) будут подробно объяснены
План вебинара:
- Знакомство с уязвимым сервисом;
- Проверка наличия уязвимости;
- Составление полезной нагрузки (payload) для демонстрации наличия уязвимости;
- Исправление уязвимого кода и поиск возможных обходов.
Спикер:
Никита Ступин, 3 года обеспечивает безопасность в компании Mail.Ru Group, находит уязвимости через Bug Bounty в сервисах таких компаний как GitHub, Airbnb, GitLab и многих других, выступает на конференциях: Insomnihack, Swiss Cyber Storm, OFFZONE, декан факультета ИБ в GeekBrains.