👁‍🗨Hello world~ SSTImap: Автоматический поиск инъекций в шаблонах • SSTImap — это инструмент для автоматического обнаружения и эксплуатации уязвимостей SSTI, а также некоторых видов code-injection. • Немного подробнее: • Поддерживает множество шаблонизаторов, например: Jinja2, Twig, Smarty, Freemarker, Velocity, шаблонные движки в JavaScript (EJS, Nunjucks и др.), Ruby (ERB, Slim), Python шаблоны и др. • Умеет: исполнять код шаблона, исполнять команду на ОС, загружать/скачивать файлы, открывать обратную оболочку и т.д. • Так же имеет интерактивный режим, который позволяет вручную управлять тестами, подставлять пэйлоады, исследовать точки инъекции. • Инструмент может давать ложные срабатывания, особенно если результат выражения не отражается явно в ответе сервера или вывод “отложен”. • Напишите в комменты, нужен ли пост с примером использования этого инструмента. Удачи! • Поддержать автора монеткой: @v_meshke