日系自動車メーカーへのアクセスを販売する趣旨のダークウェブ投稿
脅威インテリジェンスサービスCognyteは、ダークウェブやTelegram、SNSなどから膨大な情報を収集し、情報漏洩や脅威アクターの活動を検知することによって、組織のサイバー・リスクを軽減させるサービスです。 Cognyte CTI Research Group@Cognyte | 2024年5月 2024年5月1日、ロシア語のダークウェブ・フォーラムにおいて"murava"と称する脅威アクタ...
サーバーサイド・テンプレートインジェクション(Server-Side Template Injection、SSTI)は、Webアプリケーションに利用されるテンプレートエンジンに対してユーザーが不正な入力を行うことで、サーバー側テンプレートにおける悪意あるコードの埋め込みや任意のコード実行を可能にする脆弱性です。 Twig、ColdFusion等のWebアプリケーションフレームワークや統合開発環境、あるいはCMSでは、テンプレートエンジンが静的なテンプレートと動的なデータを組み合わせる事でWebページを生成します。
攻撃者は自らの入力値をデータではなくテンプレート構文として注入することで、悪意ある動作を引き起こすことを可能にします。