An Assessment of the Overlooked Dangers of Template Engines - 专知论文

会员服务 ·

0

引擎 · WEB · Web应用 · 应用开发 · 服务器 ·

An Assessment of the Overlooked Dangers of Template Engines

翻译：模板引擎被忽视的风险评估

Lorenzo Pisu,Davide Maiorca,Giorgio Giacinto

Template engines play a pivotal role in modern web application development by enabling the dynamic rendering of content, products, and user interfaces. Today, they are essential for any website that handles dynamic data, from e-commerce to social media. However, their widespread adoption also makes them attractive targets for attackers seeking to exploit vulnerabilities and gain unauthorized access to web servers. This paper presents a comprehensive assessment of the risks associated with template engines, with a particular focus on the consequences of Server-Side Template Injection (SSTI) and the ease with which such vulnerabilities can escalate to Remote Code Execution (RCE), a critical security concern in web application development.

翻译：模板引擎在现代Web应用开发中扮演着关键角色，通过实现内容、产品和用户界面的动态渲染，成为处理动态数据的网站（从电子商务到社交媒体）不可或缺的组成部分。然而，其广泛采用也使其成为攻击者寻求利用漏洞并获取Web服务器未授权访问权限的有吸引力的目标。本文对模板引擎相关风险进行了全面评估，特别关注服务器端模板注入（SSTI）的后果，以及此类漏洞如何轻易升级为远程代码执行（RCE）——这是Web应用开发中一个至关重要的安全问题。

0

相关内容

《军事任务为中心网络安全风险评估中的不确定性》

《军事任务为中心网络安全风险评估中的不确定性》

专知会员服务

8+阅读 · 5月18日

《利用动态图对网络攻击进行建模与仿真：在云安全评估中的应用》90页

《利用动态图对网络攻击进行建模与仿真：在云安全评估中的应用》90页

专知会员服务

21+阅读 · 2025年12月23日

【博士论文】小型和大型模型的不确定性估计

【博士论文】小型和大型模型的不确定性估计

专知会员服务

21+阅读 · 2025年7月11日

大模型如何应对安全性？清华等最新《大型语言模型系统的风险分类、缓解措施及评估基准》论文

大模型如何应对安全性？清华等最新《大型语言模型系统的风险分类、缓解措施及评估基准》论文

专知会员服务

49+阅读 · 2024年1月17日

通信网络中大型语言模型的后门攻击的综述

通信网络中大型语言模型的后门攻击的综述

专知会员服务

30+阅读 · 2023年9月5日

《基于对手网络基础设施发掘来实现自动威胁建模》2023最新79页论文

《基于对手网络基础设施发掘来实现自动威胁建模》2023最新79页论文

专知会员服务

32+阅读 · 2023年5月14日

《理解、评估和缓解人工智能系统中的安全风险》美海军67页论文

《理解、评估和缓解人工智能系统中的安全风险》美海军67页论文

专知会员服务

52+阅读 · 2023年3月25日

推荐如何用多模态信息？南洋理工最新《多模态推荐系统》综述，33页pdf阐述多模态推荐系统的分类、评价和未来方向

推荐如何用多模态信息？南洋理工最新《多模态推荐系统》综述，33页pdf阐述多模态推荐系统的分类、评价和未来方向

专知会员服务

49+阅读 · 2023年2月13日

网络攻击模型研究综述

专知会员服务

56+阅读 · 2020年12月28日

视频摘要最新综述文章，Video Skimming: Taxonomy and Comprehensive Survey

视频摘要最新综述文章，Video Skimming: Taxonomy and Comprehensive Survey

专知会员服务

30+阅读 · 2019年10月13日

【阿里巴巴-WWW2020】对抗性多模态表示学习的点击率预测，Adversarial Multimodal RL

【阿里巴巴-WWW2020】对抗性多模态表示学习的点击率预测，Adversarial Multimodal RL

专知

11+阅读 · 2020年3月17日

【加州理工】什么是模仿学习(Imitation Learning（模仿学习), 这62页ppt带你了解进展，附下载

【加州理工】什么是模仿学习(Imitation Learning（模仿学习), 这62页ppt带你了解进展，附下载

专知

21+阅读 · 2019年11月14日

「PPT」深度学习中的不确定性估计

「PPT」深度学习中的不确定性估计

专知

27+阅读 · 2019年7月20日

Attention！注意力机制模型最新综述（附下载）

Attention！注意力机制模型最新综述（附下载）

THU数据派

29+阅读 · 2019年4月13日

Attention！注意力机制模型最新综述

Attention！注意力机制模型最新综述

中国人工智能学会

18+阅读 · 2019年4月8日

语义鸿沟、异构鸿沟、数据缺失，多模态技术如何跨过这些坎？

语义鸿沟、异构鸿沟、数据缺失，多模态技术如何跨过这些坎？

AI前线

15+阅读 · 2019年3月21日

被动DNS，一个被忽视的安全利器

被动DNS，一个被忽视的安全利器

运维帮

11+阅读 · 2019年3月8日

最新国内大学毕业论文LaTex模板集合（持续更新中）

最新国内大学毕业论文LaTex模板集合（持续更新中）

人工智能前沿讲习班

55+阅读 · 2019年3月1日

【附源码】TensorFlow动态图（Eager模式）的那些神坑

【附源码】TensorFlow动态图（Eager模式）的那些神坑

专知

19+阅读 · 2018年10月12日

用模型不确定性理解模型

用模型不确定性理解模型

论智

11+阅读 · 2018年9月5日

基于智能模糊测试的深度漏洞挖掘技术研究

国家自然科学基金

4+阅读 · 2017年12月31日

动态重构综合模块化航空电子系统适航安全性评估方法研究

国家自然科学基金

2+阅读 · 2015年12月31日

面向动态演化的网构软件失效机理与测评方法

国家自然科学基金

1+阅读 · 2015年12月31日

随机振动响应预测中的模型形式不确定性量化方法研究

国家自然科学基金

0+阅读 · 2015年12月31日

关于面板(纵向）数据的动态统计分析

国家自然科学基金

0+阅读 · 2014年12月31日

考虑不确定性和方向性的结构随机极值和疲劳风致响应及抗风可靠性评价理论

国家自然科学基金

0+阅读 · 2014年12月31日

半参数面板数据交互固定效应模型的理论与应用研究

国家自然科学基金

0+阅读 · 2014年12月31日

微网安全风险评估研究

国家自然科学基金

2+阅读 · 2014年12月31日

基于自适应模型检测的安全协议自动建模与设计研究

国家自然科学基金

1+阅读 · 2014年12月31日

物联网关键技术RFID系统安全测试的仿真架构.评估模型和受攻击模式的研究和实践

国家自然科学基金

2+阅读 · 2014年12月31日

Modeling Sparse and Bursty Vulnerability Sightings: Forecasting Under Data Constraints

Arxiv

0+阅读 · 4月17日

Prompt Injection as Role Confusion

Arxiv

0+阅读 · 4月15日

Safety at Scale: A Comprehensive Survey of Large Model and Agent Safety

Arxiv

0+阅读 · 4月14日

When Safe Models Merge into Danger: Exploiting Latent Vulnerabilities in LLM Fusion

Arxiv

0+阅读 · 4月1日

Analysing the Safety Pitfalls of Steering Vectors

Arxiv

0+阅读 · 3月25日

Weaver: Fuzzing JavaScript Engines at the JavaScript-WebAssembly Boundary

Arxiv

0+阅读 · 3月19日

Diagnosing and Repairing Citation Failures in Generative Engine Optimization

Arxiv

0+阅读 · 3月10日

Ambiguity Collapse by LLMs: A Taxonomy of Epistemic Risks

Arxiv

0+阅读 · 3月6日

Exposing Citation Vulnerabilities in Generative Engines

Arxiv

0+阅读 · 3月2日

Evaluating Proactive Risk Awareness of Large Language Models

Arxiv

0+阅读 · 2月24日

VIP会员

文章信息

相关主题

最新内容

生成式AI基础小册子绪论解读：一条数学地基路线，178页pdf

生成式AI基础小册子绪论解读：一条数学地基路线，178页pdf

专知会员服务

9+阅读 · 5月29日

AutoScientists：自组织智能体团队驱动长期科学实验

AutoScientists：自组织智能体团队驱动长期科学实验

专知会员服务

4+阅读 · 5月29日

《阿利·伯克级驱逐舰的战损修理：桌面推演结果》报告

《阿利·伯克级驱逐舰的战损修理：桌面推演结果》报告

专知会员服务

5+阅读 · 5月29日

战略前沿人工智能的再思考（中文）

战略前沿人工智能的再思考（中文）

专知会员服务

5+阅读 · 5月29日

《量化地基防空系统间接效应的博弈论方法》

《量化地基防空系统间接效应的博弈论方法》

专知会员服务

5+阅读 · 5月29日

传感器网络：美国如何探测来自伊朗的导弹与无人机

传感器网络：美国如何探测来自伊朗的导弹与无人机

专知会员服务

5+阅读 · 5月29日

《无人机战争中的经济不对称：伊朗“沙赫德-136”对抗以色列“铁穹”防御系统的案例研究》

《无人机战争中的经济不对称：伊朗“沙赫德-136”对抗以色列“铁穹”防御系统的案例研究》

专知会员服务

7+阅读 · 5月29日

“史诗怒火行动”中美军损失的作战飞机

“史诗怒火行动”中美军损失的作战飞机

专知会员服务

5+阅读 · 5月29日

ICML 2026 | 理解上下文持续学习中的泛化与遗忘

ICML 2026 | 理解上下文持续学习中的泛化与遗忘

专知会员服务

5+阅读 · 5月28日

Agent Harness综述：大模型智能体执行器工程全景

Agent Harness综述：大模型智能体执行器工程全景

专知会员服务

15+阅读 · 5月28日

审视现代战争中的 AI 赋能杀伤链系统及印度防务的战略要务（中文版）

审视现代战争中的 AI 赋能杀伤链系统及印度防务的战略要务（中文版）

专知会员服务

14+阅读 · 5月28日

分布式作战效能：乌克兰如何在战术层面重新定义火力打击、电子战与防空（中文版）

分布式作战效能：乌克兰如何在战术层面重新定义火力打击、电子战与防空（中文版）

专知会员服务

9+阅读 · 5月28日

马赛克防御与分布式指挥：伊朗的回击（中文版）

马赛克防御与分布式指挥：伊朗的回击（中文版）

专知会员服务

10+阅读 · 5月28日

《基于理论的威慑效能评估》

《基于理论的威慑效能评估》

专知会员服务

8+阅读 · 5月28日

《移动旅级战斗队转型中的支援单元指挥控制挑战》

《移动旅级战斗队转型中的支援单元指挥控制挑战》

专知会员服务

15+阅读 · 5月27日

相关VIP内容

《军事任务为中心网络安全风险评估中的不确定性》

《军事任务为中心网络安全风险评估中的不确定性》

专知会员服务

8+阅读 · 5月18日

《利用动态图对网络攻击进行建模与仿真：在云安全评估中的应用》90页

《利用动态图对网络攻击进行建模与仿真：在云安全评估中的应用》90页

专知会员服务

21+阅读 · 2025年12月23日

【博士论文】小型和大型模型的不确定性估计

【博士论文】小型和大型模型的不确定性估计

专知会员服务

21+阅读 · 2025年7月11日

大模型如何应对安全性？清华等最新《大型语言模型系统的风险分类、缓解措施及评估基准》论文

大模型如何应对安全性？清华等最新《大型语言模型系统的风险分类、缓解措施及评估基准》论文

专知会员服务

49+阅读 · 2024年1月17日

通信网络中大型语言模型的后门攻击的综述

通信网络中大型语言模型的后门攻击的综述

专知会员服务

30+阅读 · 2023年9月5日

《基于对手网络基础设施发掘来实现自动威胁建模》2023最新79页论文

《基于对手网络基础设施发掘来实现自动威胁建模》2023最新79页论文

专知会员服务

32+阅读 · 2023年5月14日

《理解、评估和缓解人工智能系统中的安全风险》美海军67页论文

《理解、评估和缓解人工智能系统中的安全风险》美海军67页论文

专知会员服务

52+阅读 · 2023年3月25日

推荐如何用多模态信息？南洋理工最新《多模态推荐系统》综述，33页pdf阐述多模态推荐系统的分类、评价和未来方向

推荐如何用多模态信息？南洋理工最新《多模态推荐系统》综述，33页pdf阐述多模态推荐系统的分类、评价和未来方向

专知会员服务

49+阅读 · 2023年2月13日

网络攻击模型研究综述

专知会员服务

56+阅读 · 2020年12月28日

视频摘要最新综述文章，Video Skimming: Taxonomy and Comprehensive Survey

视频摘要最新综述文章，Video Skimming: Taxonomy and Comprehensive Survey

专知会员服务

30+阅读 · 2019年10月13日

热门VIP内容

开通专知VIP会员享更多权益服务

AutoScientists：自组织智能体团队驱动长期科学实验

战略前沿人工智能的再思考（中文）

生成式AI基础小册子绪论解读：一条数学地基路线，178页pdf

《阿利·伯克级驱逐舰的战损修理：桌面推演结果》报告

相关资讯

【阿里巴巴-WWW2020】对抗性多模态表示学习的点击率预测，Adversarial Multimodal RL

【阿里巴巴-WWW2020】对抗性多模态表示学习的点击率预测，Adversarial Multimodal RL

专知

11+阅读 · 2020年3月17日

【加州理工】什么是模仿学习(Imitation Learning（模仿学习), 这62页ppt带你了解进展，附下载

【加州理工】什么是模仿学习(Imitation Learning（模仿学习), 这62页ppt带你了解进展，附下载

专知

21+阅读 · 2019年11月14日

「PPT」深度学习中的不确定性估计

「PPT」深度学习中的不确定性估计

专知

27+阅读 · 2019年7月20日

Attention！注意力机制模型最新综述（附下载）

Attention！注意力机制模型最新综述（附下载）

THU数据派

29+阅读 · 2019年4月13日

Attention！注意力机制模型最新综述

Attention！注意力机制模型最新综述

中国人工智能学会

18+阅读 · 2019年4月8日

语义鸿沟、异构鸿沟、数据缺失，多模态技术如何跨过这些坎？

语义鸿沟、异构鸿沟、数据缺失，多模态技术如何跨过这些坎？

AI前线

15+阅读 · 2019年3月21日

被动DNS，一个被忽视的安全利器

被动DNS，一个被忽视的安全利器

运维帮

11+阅读 · 2019年3月8日

最新国内大学毕业论文LaTex模板集合（持续更新中）

最新国内大学毕业论文LaTex模板集合（持续更新中）

人工智能前沿讲习班

55+阅读 · 2019年3月1日

【附源码】TensorFlow动态图（Eager模式）的那些神坑

【附源码】TensorFlow动态图（Eager模式）的那些神坑

专知

19+阅读 · 2018年10月12日

用模型不确定性理解模型

用模型不确定性理解模型

论智

11+阅读 · 2018年9月5日

相关论文

Modeling Sparse and Bursty Vulnerability Sightings: Forecasting Under Data Constraints

Arxiv

0+阅读 · 4月17日

Prompt Injection as Role Confusion

Arxiv

0+阅读 · 4月15日

Safety at Scale: A Comprehensive Survey of Large Model and Agent Safety

Arxiv

0+阅读 · 4月14日

When Safe Models Merge into Danger: Exploiting Latent Vulnerabilities in LLM Fusion

Arxiv

0+阅读 · 4月1日

Analysing the Safety Pitfalls of Steering Vectors

Arxiv

0+阅读 · 3月25日

Weaver: Fuzzing JavaScript Engines at the JavaScript-WebAssembly Boundary

Arxiv

0+阅读 · 3月19日

Diagnosing and Repairing Citation Failures in Generative Engine Optimization

Arxiv

0+阅读 · 3月10日

Ambiguity Collapse by LLMs: A Taxonomy of Epistemic Risks

Arxiv

0+阅读 · 3月6日

Exposing Citation Vulnerabilities in Generative Engines

Arxiv

0+阅读 · 3月2日

Evaluating Proactive Risk Awareness of Large Language Models

Arxiv

0+阅读 · 2月24日

相关基金

基于智能模糊测试的深度漏洞挖掘技术研究

国家自然科学基金

4+阅读 · 2017年12月31日

动态重构综合模块化航空电子系统适航安全性评估方法研究

国家自然科学基金

2+阅读 · 2015年12月31日

面向动态演化的网构软件失效机理与测评方法

国家自然科学基金

1+阅读 · 2015年12月31日

随机振动响应预测中的模型形式不确定性量化方法研究

国家自然科学基金

0+阅读 · 2015年12月31日

关于面板(纵向）数据的动态统计分析

国家自然科学基金

0+阅读 · 2014年12月31日

考虑不确定性和方向性的结构随机极值和疲劳风致响应及抗风可靠性评价理论

国家自然科学基金

0+阅读 · 2014年12月31日

半参数面板数据交互固定效应模型的理论与应用研究

国家自然科学基金

0+阅读 · 2014年12月31日

微网安全风险评估研究

国家自然科学基金

2+阅读 · 2014年12月31日

基于自适应模型检测的安全协议自动建模与设计研究

国家自然科学基金

1+阅读 · 2014年12月31日

物联网关键技术RFID系统安全测试的仿真架构.评估模型和受攻击模式的研究和实践

国家自然科学基金

2+阅读 · 2014年12月31日

微信扫码咨询专知VIP会员