模板引擎被忽视的风险评估 (An Assessment of the Overlooked Dangers of Template Engines) - 专知论文

会员服务 ·

0

引擎 · WEB · Web应用 · 应用开发 · 服务器 ·

An Assessment of the Overlooked Dangers of Template Engines

翻译：模板引擎被忽视的风险评估

Lorenzo Pisu,Davide Maiorca,Giorgio Giacinto

Template engines play a pivotal role in modern web application development by enabling the dynamic rendering of content, products, and user interfaces. Today, they are essential for any website that handles dynamic data, from e-commerce to social media. However, their widespread adoption also makes them attractive targets for attackers seeking to exploit vulnerabilities and gain unauthorized access to web servers. This paper presents a comprehensive assessment of the risks associated with template engines, with a particular focus on the consequences of Server-Side Template Injection (SSTI) and the ease with which such vulnerabilities can escalate to Remote Code Execution (RCE), a critical security concern in web application development.

翻译：模板引擎在现代Web应用开发中扮演着关键角色，通过实现内容、产品和用户界面的动态渲染，成为处理动态数据的网站（从电子商务到社交媒体）不可或缺的组成部分。然而，其广泛采用也使其成为攻击者寻求利用漏洞并获取Web服务器未授权访问权限的有吸引力的目标。本文对模板引擎相关风险进行了全面评估，特别关注服务器端模板注入（SSTI）的后果，以及此类漏洞如何轻易升级为远程代码执行（RCE）——这是Web应用开发中一个至关重要的安全问题。

0

相关内容

《利用动态图对网络攻击进行建模与仿真：在云安全评估中的应用》90页

《利用动态图对网络攻击进行建模与仿真：在云安全评估中的应用》90页

专知会员服务

21+阅读 · 2025年12月23日

综述：面向移动端大语言模型的隐私与安全

综述：面向移动端大语言模型的隐私与安全

专知会员服务

19+阅读 · 2025年9月7日

【博士论文】小型和大型模型的不确定性估计

【博士论文】小型和大型模型的不确定性估计

专知会员服务

21+阅读 · 2025年7月11日

大模型如何应对安全性？清华等最新《大型语言模型系统的风险分类、缓解措施及评估基准》论文

大模型如何应对安全性？清华等最新《大型语言模型系统的风险分类、缓解措施及评估基准》论文

专知会员服务

49+阅读 · 2024年1月17日

通信网络中大型语言模型的后门攻击的综述

通信网络中大型语言模型的后门攻击的综述

专知会员服务

30+阅读 · 2023年9月5日

《基于对手网络基础设施发掘来实现自动威胁建模》2023最新79页论文

《基于对手网络基础设施发掘来实现自动威胁建模》2023最新79页论文

专知会员服务

32+阅读 · 2023年5月14日

《理解、评估和缓解人工智能系统中的安全风险》美海军67页论文

《理解、评估和缓解人工智能系统中的安全风险》美海军67页论文

专知会员服务

52+阅读 · 2023年3月25日

推荐如何用多模态信息？南洋理工最新《多模态推荐系统》综述，33页pdf阐述多模态推荐系统的分类、评价和未来方向

推荐如何用多模态信息？南洋理工最新《多模态推荐系统》综述，33页pdf阐述多模态推荐系统的分类、评价和未来方向

专知会员服务

49+阅读 · 2023年2月13日

网络攻击模型研究综述

专知会员服务

56+阅读 · 2020年12月28日

视频摘要最新综述文章，Video Skimming: Taxonomy and Comprehensive Survey

视频摘要最新综述文章，Video Skimming: Taxonomy and Comprehensive Survey

专知会员服务

30+阅读 · 2019年10月13日

【阿里巴巴-WWW2020】对抗性多模态表示学习的点击率预测，Adversarial Multimodal RL

【阿里巴巴-WWW2020】对抗性多模态表示学习的点击率预测，Adversarial Multimodal RL

专知

11+阅读 · 2020年3月17日

【加州理工】什么是模仿学习(Imitation Learning（模仿学习), 这62页ppt带你了解进展，附下载

【加州理工】什么是模仿学习(Imitation Learning（模仿学习), 这62页ppt带你了解进展，附下载

专知

21+阅读 · 2019年11月14日

「PPT」深度学习中的不确定性估计

「PPT」深度学习中的不确定性估计

专知

27+阅读 · 2019年7月20日

Attention！注意力机制模型最新综述（附下载）

Attention！注意力机制模型最新综述（附下载）

THU数据派

29+阅读 · 2019年4月13日

Attention！注意力机制模型最新综述

Attention！注意力机制模型最新综述

中国人工智能学会

18+阅读 · 2019年4月8日

语义鸿沟、异构鸿沟、数据缺失，多模态技术如何跨过这些坎？

语义鸿沟、异构鸿沟、数据缺失，多模态技术如何跨过这些坎？

AI前线

15+阅读 · 2019年3月21日

被动DNS，一个被忽视的安全利器

被动DNS，一个被忽视的安全利器

运维帮

11+阅读 · 2019年3月8日

最新国内大学毕业论文LaTex模板集合（持续更新中）

最新国内大学毕业论文LaTex模板集合（持续更新中）

人工智能前沿讲习班

55+阅读 · 2019年3月1日

【附源码】TensorFlow动态图（Eager模式）的那些神坑

【附源码】TensorFlow动态图（Eager模式）的那些神坑

专知

19+阅读 · 2018年10月12日

用模型不确定性理解模型

用模型不确定性理解模型

论智

11+阅读 · 2018年9月5日

基于智能模糊测试的深度漏洞挖掘技术研究

国家自然科学基金

4+阅读 · 2017年12月31日

动态重构综合模块化航空电子系统适航安全性评估方法研究

国家自然科学基金

2+阅读 · 2015年12月31日

面向动态演化的网构软件失效机理与测评方法

国家自然科学基金

1+阅读 · 2015年12月31日

随机振动响应预测中的模型形式不确定性量化方法研究

国家自然科学基金

0+阅读 · 2015年12月31日

关于面板(纵向）数据的动态统计分析

国家自然科学基金

0+阅读 · 2014年12月31日

考虑不确定性和方向性的结构随机极值和疲劳风致响应及抗风可靠性评价理论

国家自然科学基金

0+阅读 · 2014年12月31日

半参数面板数据交互固定效应模型的理论与应用研究

国家自然科学基金

0+阅读 · 2014年12月31日

微网安全风险评估研究

国家自然科学基金

2+阅读 · 2014年12月31日

基于自适应模型检测的安全协议自动建模与设计研究

国家自然科学基金

1+阅读 · 2014年12月31日

物联网关键技术RFID系统安全测试的仿真架构.评估模型和受攻击模式的研究和实践

国家自然科学基金

2+阅读 · 2014年12月31日

Diagnosing and Repairing Citation Failures in Generative Engine Optimization

Arxiv

0+阅读 · 3月10日

Ambiguity Collapse by LLMs: A Taxonomy of Epistemic Risks

Arxiv

0+阅读 · 3月6日

Exposing Citation Vulnerabilities in Generative Engines

Arxiv

0+阅读 · 3月2日

Evaluating Proactive Risk Awareness of Large Language Models

Arxiv

0+阅读 · 2月24日

Accidental Vulnerability: Factors in Fine-Tuning that Shift Model Safeguards

Arxiv

0+阅读 · 2月22日

Exposing the Systematic Vulnerability of Open-Weight Models to Prefill Attacks

Arxiv

0+阅读 · 2月16日

Transferable Backdoor Attacks for Code Models via Sharpness-Aware Adversarial Perturbation

Arxiv

0+阅读 · 2月11日

Uncovering Vulnerabilities of LLM-Assisted Cyber Threat Intelligence

Arxiv

0+阅读 · 2月6日

BadTemplate: A Training-Free Backdoor Attack via Chat Template Against Large Language Models

Arxiv

0+阅读 · 2月5日

Risk Assessment and Security Analysis of Large Language Models

Arxiv

0+阅读 · 2月4日

VIP会员

文章信息

相关主题

最新内容

人工智能与机器人自主系统等新兴技术革命将如何影响地面作战的指挥控制？

人工智能与机器人自主系统等新兴技术革命将如何影响地面作战的指挥控制？

专知会员服务

0+阅读 · 今天16:17

弹性指挥控制：北约、伊朗与俄罗斯指挥控制架构的比较分析

弹性指挥控制：北约、伊朗与俄罗斯指挥控制架构的比较分析

专知会员服务

1+阅读 · 今天15:58

最新“指挥控制”领域出版物合集（简介）

最新“指挥控制”领域出版物合集（简介）

专知会员服务

1+阅读 · 今天15:19

面向军事作战需求开发的人工智能（RAIMOND）

面向军事作战需求开发的人工智能（RAIMOND）

专知会员服务

3+阅读 · 今天15:13

检测算法战：一个识别军事行动中人工智能特征的框架

检测算法战：一个识别军事行动中人工智能特征的框架

专知会员服务

1+阅读 · 今天15:00

软件定义多域战术网络：基础与未来方向（综述）

软件定义多域战术网络：基础与未来方向（综述）

专知会员服务

3+阅读 · 今天14:57

水下战战术决策中的气象与海洋预报（50页报告）

水下战战术决策中的气象与海洋预报（50页报告）

专知会员服务

1+阅读 · 今天14:52

远程空中优势：新一代超视距导弹的兴起

远程空中优势：新一代超视距导弹的兴起

专知会员服务

1+阅读 · 今天14:45

大语言模型溯因推理的统一分类学与综述

大语言模型溯因推理的统一分类学与综述

专知会员服务

0+阅读 · 今天12:07

CVPR 2026 Findings | 算力砍半、性能不降！全开源 A₁模型：让机器人大模型真正走向落地

CVPR 2026 Findings | 算力砍半、性能不降！全开源 A₁模型：让机器人大模型真正走向落地

专知会员服务

0+阅读 · 今天11:54

大语言模型与国防战略：升级风险与国家安全挑战（综述）

大语言模型与国防战略：升级风险与国家安全挑战（综述）

专知会员服务

6+阅读 · 今天4:52

《基于机器学习预测模型识别新型超视距战术及DARPA AIR智能体误差分析》

《基于机器学习预测模型识别新型超视距战术及DARPA AIR智能体误差分析》

专知会员服务

10+阅读 · 4月11日

以机器速度作战：人工智能与美陆军反火力作战——第二部分

以机器速度作战：人工智能与美陆军反火力作战——第二部分

专知会员服务

8+阅读 · 4月11日

以机器速度作战：人工智能与美陆军反火力作战——第一部分

以机器速度作战：人工智能与美陆军反火力作战——第一部分

专知会员服务

7+阅读 · 4月11日

大视觉语言模型的高效推理：瓶颈剖析、关键技术与未来展望

大视觉语言模型的高效推理：瓶颈剖析、关键技术与未来展望

专知会员服务

6+阅读 · 4月11日

相关VIP内容

《利用动态图对网络攻击进行建模与仿真：在云安全评估中的应用》90页

《利用动态图对网络攻击进行建模与仿真：在云安全评估中的应用》90页

专知会员服务

21+阅读 · 2025年12月23日

综述：面向移动端大语言模型的隐私与安全

综述：面向移动端大语言模型的隐私与安全

专知会员服务

19+阅读 · 2025年9月7日

【博士论文】小型和大型模型的不确定性估计

【博士论文】小型和大型模型的不确定性估计

专知会员服务

21+阅读 · 2025年7月11日

大模型如何应对安全性？清华等最新《大型语言模型系统的风险分类、缓解措施及评估基准》论文

大模型如何应对安全性？清华等最新《大型语言模型系统的风险分类、缓解措施及评估基准》论文

专知会员服务

49+阅读 · 2024年1月17日

通信网络中大型语言模型的后门攻击的综述

通信网络中大型语言模型的后门攻击的综述

专知会员服务

30+阅读 · 2023年9月5日

《基于对手网络基础设施发掘来实现自动威胁建模》2023最新79页论文

《基于对手网络基础设施发掘来实现自动威胁建模》2023最新79页论文

专知会员服务

32+阅读 · 2023年5月14日

《理解、评估和缓解人工智能系统中的安全风险》美海军67页论文

《理解、评估和缓解人工智能系统中的安全风险》美海军67页论文

专知会员服务

52+阅读 · 2023年3月25日

推荐如何用多模态信息？南洋理工最新《多模态推荐系统》综述，33页pdf阐述多模态推荐系统的分类、评价和未来方向

推荐如何用多模态信息？南洋理工最新《多模态推荐系统》综述，33页pdf阐述多模态推荐系统的分类、评价和未来方向

专知会员服务

49+阅读 · 2023年2月13日

网络攻击模型研究综述

专知会员服务

56+阅读 · 2020年12月28日

视频摘要最新综述文章，Video Skimming: Taxonomy and Comprehensive Survey

视频摘要最新综述文章，Video Skimming: Taxonomy and Comprehensive Survey

专知会员服务

30+阅读 · 2019年10月13日

热门VIP内容

开通专知VIP会员享更多权益服务

弹性指挥控制：北约、伊朗与俄罗斯指挥控制架构的比较分析

面向军事作战需求开发的人工智能（RAIMOND）

人工智能与机器人自主系统等新兴技术革命将如何影响地面作战的指挥控制？

最新“指挥控制”领域出版物合集（简介）

相关资讯

【阿里巴巴-WWW2020】对抗性多模态表示学习的点击率预测，Adversarial Multimodal RL

【阿里巴巴-WWW2020】对抗性多模态表示学习的点击率预测，Adversarial Multimodal RL

专知

11+阅读 · 2020年3月17日

【加州理工】什么是模仿学习(Imitation Learning（模仿学习), 这62页ppt带你了解进展，附下载

【加州理工】什么是模仿学习(Imitation Learning（模仿学习), 这62页ppt带你了解进展，附下载

专知

21+阅读 · 2019年11月14日

「PPT」深度学习中的不确定性估计

「PPT」深度学习中的不确定性估计

专知

27+阅读 · 2019年7月20日

Attention！注意力机制模型最新综述（附下载）

Attention！注意力机制模型最新综述（附下载）

THU数据派

29+阅读 · 2019年4月13日

Attention！注意力机制模型最新综述

Attention！注意力机制模型最新综述

中国人工智能学会

18+阅读 · 2019年4月8日

语义鸿沟、异构鸿沟、数据缺失，多模态技术如何跨过这些坎？

语义鸿沟、异构鸿沟、数据缺失，多模态技术如何跨过这些坎？

AI前线

15+阅读 · 2019年3月21日

被动DNS，一个被忽视的安全利器

被动DNS，一个被忽视的安全利器

运维帮

11+阅读 · 2019年3月8日

最新国内大学毕业论文LaTex模板集合（持续更新中）

最新国内大学毕业论文LaTex模板集合（持续更新中）

人工智能前沿讲习班

55+阅读 · 2019年3月1日

【附源码】TensorFlow动态图（Eager模式）的那些神坑

【附源码】TensorFlow动态图（Eager模式）的那些神坑

专知

19+阅读 · 2018年10月12日

用模型不确定性理解模型

用模型不确定性理解模型

论智

11+阅读 · 2018年9月5日

相关论文

Diagnosing and Repairing Citation Failures in Generative Engine Optimization

Arxiv

0+阅读 · 3月10日

Ambiguity Collapse by LLMs: A Taxonomy of Epistemic Risks

Arxiv

0+阅读 · 3月6日

Exposing Citation Vulnerabilities in Generative Engines

Arxiv

0+阅读 · 3月2日

Evaluating Proactive Risk Awareness of Large Language Models

Arxiv

0+阅读 · 2月24日

Accidental Vulnerability: Factors in Fine-Tuning that Shift Model Safeguards

Arxiv

0+阅读 · 2月22日

Exposing the Systematic Vulnerability of Open-Weight Models to Prefill Attacks

Arxiv

0+阅读 · 2月16日

Transferable Backdoor Attacks for Code Models via Sharpness-Aware Adversarial Perturbation

Arxiv

0+阅读 · 2月11日

Uncovering Vulnerabilities of LLM-Assisted Cyber Threat Intelligence

Arxiv

0+阅读 · 2月6日

BadTemplate: A Training-Free Backdoor Attack via Chat Template Against Large Language Models

Arxiv

0+阅读 · 2月5日

Risk Assessment and Security Analysis of Large Language Models

Arxiv

0+阅读 · 2月4日

相关基金

基于智能模糊测试的深度漏洞挖掘技术研究

国家自然科学基金

4+阅读 · 2017年12月31日

动态重构综合模块化航空电子系统适航安全性评估方法研究

国家自然科学基金

2+阅读 · 2015年12月31日

面向动态演化的网构软件失效机理与测评方法

国家自然科学基金

1+阅读 · 2015年12月31日

随机振动响应预测中的模型形式不确定性量化方法研究

国家自然科学基金

0+阅读 · 2015年12月31日

关于面板(纵向）数据的动态统计分析

国家自然科学基金

0+阅读 · 2014年12月31日

考虑不确定性和方向性的结构随机极值和疲劳风致响应及抗风可靠性评价理论

国家自然科学基金

0+阅读 · 2014年12月31日

半参数面板数据交互固定效应模型的理论与应用研究

国家自然科学基金

0+阅读 · 2014年12月31日

微网安全风险评估研究

国家自然科学基金

2+阅读 · 2014年12月31日

基于自适应模型检测的安全协议自动建模与设计研究

国家自然科学基金

1+阅读 · 2014年12月31日

物联网关键技术RFID系统安全测试的仿真架构.评估模型和受攻击模式的研究和实践

国家自然科学基金

2+阅读 · 2014年12月31日

微信扫码咨询专知VIP会员