Путь golang 5 модулей

Go SSTI Security: От подстановки шаблонов до компрометации сервера

Глубокое погружение в Server-Side Template Injection (SSTI) в Go-приложениях. Вы научитесь находить и эксплуатировать уязвимости в шаблонизаторах text/template и html/template, использовать вызовы методов структур для кражи секретов, атаковать email-шаблоны и внедрять надежную защиту с контекстным экранированием.

Модуль 1: SSTI — html/template vs text/template

Разбираемся с механикой выполнения кода внутри шаблонов Go и опасной разницей между двумя стандартными пакетами.

0/3

1. Как работают шаблоны в Go
Pro
2. Почему text/template — это риск
Pro
3. Проверка знаний
Pro

Модуль 2: Basic SSTI

Изучаем классические уязвимости при динамической генерации шаблонов из пользовательского ввода. Защита через статические шаблоны.

0/4

1. Опасный парсинг пользовательских шаблонов
Pro
2. Защита — статические шаблоны и данные через Execute
Pro
3. Проверка знаний
Pro
EXP FIX
4. Практика — инъекция в кастомные письма
easy
Pro

Модуль 3: Advanced SSTI — вызов методов

Продвинутая эксплуатация: вызов методов Go-структур из шаблона для доступа к секретам и выполнения действий на сервере.

0/4

1. Вызовы методов — прямой доступ к логике Go
Pro
2. Защита — минимальный контекст и безопасные FuncMap
Pro
3. Проверка знаний
Pro
EXP FIX
4. Практика — взлом через вызов методов
medium
Pro

Модуль 4: SSTI через Email-шаблоны

Исследуем специфический вектор атаки — инъекцию в email-шаблоны, где text/template часто используется без должной защиты.

0/4

1. Email-шаблоны как вектор SSTI
Pro
2. Защита — безопасная генерация email
Pro
3. Проверка знаний
Pro
EXP FIX
4. Практика — SSTI в email-уведомлениях
hard
Pro

Модуль 5: Итоговый обзор

Синтез всех типов SSTI в Go, сравнительные таблицы, реальные CVE и чек-лист безопасности шаблонов.

0/4

1. Таксономия SSTI и реальные CVE
Pro
2. Чек-лист безопасности шаблонов
Pro
3. Автоматическое обнаружение SSTI в CI/CD
Pro
4. Финальный тест
Pro