[2025-08-12] CSTI

🦥 본문

정의 및 개념

Client-Side Template Injection. 브라우저에서 동작하는 템플릿 엔진이 이용자의 입력값을 템플릿 구문으로 해석되어 렌더링될 때, 의도하지 않은 표현식 평가나 스크립트 구문 실행을 일으키는 취약점.

동작 흐름

1. 앱이 클라이언트 템플릿을 사용해 DOM을 렌더링
2. 개발자가 사용자 입력을 템플릿으로 해석될 수 있는 위치에 넣는다
3. 템플릿 엔진이 해당 노드를 컴파일/바인딩 하면서 {{..}} 같은 표현식을 평가
4. JS 실행으로 이어져 DOM XSS가 된다.

템플릿 종류 및 취약점

• Vue : 프론트엔드 프레임 워크.

  • EX)

      <script src="https://unpkg.com/vue@3"></script>
            
      <div id="app">{{ message }}</div>
            
      <script>
        Vue.createApp({
          data() {
            return {
              message: 'Hello Vue!'
            }
          }
        }).mount('#app')
      </script>
    

  • 취약 코드 예제

      <script src="https://unpkg.com/vue@3"></script>
            
      <div id="app">
      	<?php echo htmlspecialchars($_GET['msg']); ?>
      </div>
            
      <script>
        Vue.createApp({
          data() {
            return {
              message: 'Hello Vue!'
            }
          }
        }).mount('#app')
      </script>
    

    • $_GET['msg'] : URL에서 msg 값을 받아와서 보여줌
    • htmlspecialchars() : <, > 같은 HTML 태그를 인코딩하여 일반적인 XSS 차단
      • ?msg=<script>alert(1)</script> → <script>가 <script>로 바뀌어서 스크립트 태그로 실행되지 않음.
    • ?msg={{1+1}} 에서 2가 출력되었다면 CSTI 가능

  • {{_Vue.h.constructor}} : 생성자. 함수를 생성하고 호출하기 때문에 XSS 공격이 가능하다

    • EX) {{_Vue.h.constructor("alert(1)")}}
• AngularJS : 프론트엔드 프레임워크. 타입스크립트 기반

  • EX)

      <!doctype html>
      <html ng-app>
        <head>
          <script src="https://ajax.googleapis.com/ajax/libs/angularjs/1.8.3/angular.min.js"></script>
        </head>
        <body>
          <div>
            <label>Name:</label>
            <input type="text" ng-model="yourName" placeholder="Enter a name here">
            <hr>
            <h1>Hello {{yourName}}!</h1>
          </div>
        </body>
      </html>
    

  • 취약 코드 예제

      <!doctype html>
      <html ng-app>
        <head>
          <script src="https://ajax.googleapis.com/ajax/libs/angularjs/1.8.3/angular.min.js"></script>
        </head>
        <body>
            <?php echo htmlspecialchars($_GET['msg']); ?>
        </body>
      </html>
    

    • Vue의 취약 예제 코드와 마찬가지
    • htmlspecialchars() : <, > 같은 HTML 태그를 인코딩하여 일반적인 XSS 차단

  • {{constructor.constructor}} : 생성자. 함수를 생성하고 호출하여 공격

    • EX) {{constructor.constructor("alert(1)")()}}

대응 방법

1. 사용자의 입력은 항상 데이터로만 다루고, 템플릿으로 해석될 수 있는 경로로 넣지 말기
2. 프레임워크별 금기/권장
   • Vue : v-html 에 외부/사용자 입력 금지
   • Angular : $sce.trustAsHtml 남용 금지, ng-bind-html에 사용자 입력 금지. $compile로 사용자 입력을 다시 컴파일하지 말 것.
3. CSP에서 script-src 'self'; object-src 'none'; 을 통해 XSS 피해 축소
4. 템플릿 구문 이스케이프