Java 代码审计·SSTI 模板注入
✨ 什么是 SSTI 模板注入
SSTI 是服务器端模板注入(Server-SideTemplateInjection)的英文首字母编写。模板引擎支持使用静态模板文件,在运行时用 HTML 页面中的实际值替换变量/占位符,从而让 HTML 页面的设计变得更容易。当前广泛应用的模板引擎有 Smarty、Twig、Jinja2、FreeMarker、Velocity 等。若攻击者可以完全控制输入模板的指令,并且模板能够在服务器端被成功地进行解析,则会造成模板注入漏洞。 简单来说,SSTI 指的是攻击者可控的数据被服务端模板引擎当作“模板代码”解析执行,而不是普通文本输出。
✨ SSTI 与 SpEL 的区别
SSTI 是一类漏洞场景/漏洞类型;SpEL 是一种表达式语言/技术组件。SpEL 使用不当时,可以导致表达式注入,也可能出现在 SSTI 场景中。
📝 SSTI
SSTI 是服务端模板注入,描述的是一种漏洞类型,用户输入被服务端模板引擎当作模板代码解析执行。常见模板引擎包括
reeMarker、Velocity、Thymeleaf、Pebble、Mustache、JSP / EL、Groovy Template、Spring Expression Language(SpEL)、OGNL / MVEL等表达式引擎。正常情况下,模板引擎用于渲染页面,例如:
Hello, ${username}服务端传入:model.put("username", "法外狂徒-张三");渲染结果:Hello, 法外狂徒-张三若如果攻击者能控制模板内容,例如:Hello, ${2 * 3}服务端模板引擎可能会把它当成表达式执行,最终输出:Hello, 6📝 SpEL
SpEL 是 Spring 表达式语言,是 Spring 提供的一种表达式语言。用于:配置解析、Bean 属性访问、注解条件判断、Spring Security 权限表达式、Spring Cache 表达式、Spring Data 查询表达式、动态规则判断。
ExpressionParser parser = new SpelExpressionParser();Expression expression = parser.parseExpression("2 * 3");Object result = expression.getValue();📝 二者的核心区别
对比项 SSTI SpEL 本质 漏洞类型/攻击场景 表达式语言/技术组件 范围 更宽 更具体 典型位置 模板引擎渲染阶段 Spring 表达式解析阶段 常见引擎 FreeMarker、Velocity、Thymeleaf 等 Spring Expression Language 是否一定是漏洞 是安全问题描述 本身不是漏洞 产生漏洞条件 用户输入被当作模板解析 用户输入被当作 SpEL 表达式解析 关系 可包含 SpEL 注入场景 可能导致类似 SSTI 的服务端表达式执行 ✨ SSTI 漏洞产生的根本原因
📝 将用户输入当作模板内容解析
危险的写法:
String template = request.getParameter("template");templateEngine.process(template, context);攻击者直接控制了模板内容。
正确做法应该是:
templateEngine.process("email/welcome", context);模板名称或模板文件应由后端固定,而不是由用户随意传入。
📝 动态拼接模板字符串
String username = request.getParameter("username");String template = "Hello " + username;templateEngine.process(template, context);如果传入的 username 是:${7*7},模板最终变成:
Hello ${7*7}模板引擎会执行表达式。
📝 用户可控模板文件、邮件模板、CMS 页面模板
一些系统允许用户编辑:
邮件模板 短信模板 报表模板 CMS 页面模板 通知内容模板 工作流表达式 规则引擎表达式
如果这些模板支持表达式,而系统没有沙箱限制,就可能导致 SSTI。
尊敬的 ${user.name},您的订单号是 ${order.id}如果普通用户也能修改模板,就可以尝试构造恶意表达式。
📝 模板引擎暴露了危险对象
例如模板上下文中暴露了:
model.put("request", request);model.put("response", response);model.put("session", session);model.put("applicationContext", applicationContext);model.put("classLoader", classLoader);攻击者一旦可以执行模板表达式,就可能通过这些对象继续访问更敏感的 API。
📝 使用了危险表达式引擎
例如SpEL、OGNL、MVEL、JEXL等。如果代码中存在:
ExpressionParser parser = new SpelExpressionParser();Expression exp = parser.parseExpression(userInput);Object value = exp.getValue();会触发 SpEL 表达式注入。

💡 Freemarker SSTI 演示
FreeMarker 是一个 Java 模板引擎,常用于生成:HTML 页面、邮件内容、配置文件、文本报表、代码模板。它的模板文件通常以.ftl结尾。 FreeMarker 本身不依赖 Servlet,可以用于 Web,也可以用于普通 Java 程序。
📝 基本语法
💻 基本变量输出
模板:Hello, ${name}数据:name = "Alice"输出:Hello, Alice
💻 条件判断
<#if user.vip> VIP 用户<#else> 普通用户</#if>💻 循环
<#list users as user> 用户名:${user.name}</#list>💻 默认值
${username!"匿名用户"},如果 username 为空或不存在,输出:匿名用户。
💻 判断变量是否存在
<#if username??> ${username}<#else> 用户名不存在</#if>💻 常见内建函数
${name?upper_case}${name?lower_case}${date?string("yyyy-MM-dd")}${users?size}比如:${"hello"?upper_case},输出:HELLO。

📝 漏洞环境搭建
pom.xml
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd"> <modelVersion>4.0.0</modelVersion> <groupId>com.study</groupId> <artifactId>freemarker-safe-lab</artifactId> <version>1.0-SNAPSHOT</version> <name>freemarker-safe-lab</name> <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId> <version>2.7.18</version> <relativePath/> </parent> <properties> <java.version>8</java.version> </properties> <dependencies> <dependency> <!-- Spring Boot Web 支持 --> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <dependency> <!-- Freemarker 模板引擎 --> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-freemarker</artifactId> </dependency> </dependencies> <build> <plugins> <!-- Spring Boot 打包运行插件 --> <plugin> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-maven-plugin</artifactId> </plugin> </plugins> </build></project>application.properties
# 服务器端口号server.port=8080# FreeMarker 模板文件的加载路径(classpath 下的 templates 目录)spring.freemarker.template-loader-path=classpath:/templates/# 模板文件的后缀名spring.freemarker.suffix=.ftl# 模板文件的字符编码spring.freemarker.charset=UTF-8# 是否启用模板缓存,开发环境建议关闭以便实时修改生效spring.freemarker.cache=false# 是否将 HttpServletRequest 中的属性暴露给模板spring.freemarker.expose-request-attributes=false# 是否将 HttpSession 中的属性暴露给模板spring.freemarker.expose-session-attributes=false# 是否暴露 Spring 宏助手(SpringMacroHelper),用于在模板中使用 Spring 的宏spring.freemarker.expose-spring-macro-helpers=true📝 安全渲染示例
SafeController.java
package com.study.demo;import org.springframework.stereotype.Controller;import org.springframework.ui.Model;import org.springframework.web.bind.annotation.GetMapping;import org.springframework.web.bind.annotation.RequestParam;/** * SafeController - 安全的 FreeMarker SSTI 示例控制器 * 演示如何安全地使用 FreeMarker 模板引擎,避免服务端模板注入(SSTI)攻击。 */@Controllerpublic class SafeController { /** * 演示页面 - /hello * 将固定的 "FreeMarker" 字符串作为 name 属性传递给模板,不接收用户输入,因此是安全的。 * * @param model Spring MVC 的 Model 对象,用于向模板传递数据 * @return 模板名称 "hello",对应 templates/hello.ftl */ @GetMapping("/hello") public String hello(Model model) { // 将固定的 name 值添加到模型中,模板通过 ${name} 获取 model.addAttribute("name", "FreeMarker"); return "hello"; } /** * 安全用户输入处理 - /safe * 接收用户通过 URL 参数传入的 name,并使用安全的方式将其传递给 FreeMarker 模板 * 关键安全措施:直接将用户输入作为普通字符串变量传递,而非拼接到模板中,从而防止 SSTI */ @GetMapping("/safe") public String safe(@RequestParam(defaultValue = "guest") String name, Model model) { model.addAttribute("name", name); return "safe"; }}hello.ftl
<!DOCTYPE html><html><head> <meta charset="UTF-8"> <title>Hello</title></head><body><h1>Hello Page</h1><p>Hello, ${name}</p></body></html>safe.ftl
<!DOCTYPE html><html><head> <meta charset="UTF-8"> <title>Safe</title></head><body><h1>Safe Variable Rendering</h1><p>Your input:</p><p>${name}</p></body></html>
输入的内容会作为数据出现,不会被二次解析。

📝 风险渲染示例
ReviewController.java
package com.study.demo.controller;import freemarker.template.Configuration;import freemarker.template.Template;import org.springframework.stereotype.Controller;import org.springframework.ui.Model;import org.springframework.web.bind.annotation.GetMapping;import org.springframework.web.bind.annotation.PostMapping;import org.springframework.web.bind.annotation.RequestParam;import java.io.StringReader;import java.io.StringWriter;import java.util.HashMap;import java.util.Map;/** * ReviewController - 评论模板渲染控制器(存在 SSTI 漏洞的示例) * 用户输入的 content 被直接作为 FreeMarker 模板内容进行解析和渲染, * 攻击者可以通过构造恶意模板表达式来执行任意代码。 */@Controllerpublic class ReviewController { private final Configuration configuration; public ReviewController(Configuration configuration) { this.configuration = configuration; } @GetMapping("/review") public String reviewPage() { return "review"; } @PostMapping("/review/render") public String renderReview(@RequestParam String content, Model model) { model.addAttribute("submittedContent", content); try { // 漏洞点:将用户输入的 content 直接作为 FreeMarker 模板源码创建 Template 对象 // 这是 SSTI 漏洞的根源——用户输入被当作可执行的模板代码解析 Template template = new Template("userTpl", new StringReader(content), configuration); StringWriter out = new StringWriter(); Map<String, Object> dataModel = new HashMap<String, Object>(); dataModel.put("name", "张三"); // 执行模板渲染,将结果写入 StringWriter template.process(dataModel, out); model.addAttribute("renderedResult", out.toString()); model.addAttribute("status", "success"); } catch (Exception e) { model.addAttribute("renderedResult", "渲染失败"); model.addAttribute("status", "error"); model.addAttribute("errorType", e.getClass().getName()); model.addAttribute("errorMessage", e.getMessage()); } return "review-result"; }}review.ftl
<!DOCTYPE html><html><head> <meta charset="UTF-8"> <title>Review Lab</title></head><body><h1>FreeMarker 审计学习</h1><p><b>把用户输入直接当模板源码交给 FreeMarker 处理</b></p><form method="post" action="/review/render"> <textarea name="content" rows="8" cols="80">${r"Hello ${name}"}</textarea><br> <button type="submit">提交</button></form></body></html>review-result.ftl
<!DOCTYPE html><html><head> <meta charset="UTF-8"> <title>Review Result</title></head><body><h1>Review Result</h1><p>状态:${status}</p><h2>提交的原始内容</h2><pre>${submittedContent!""}</pre><h2>渲染结果</h2><pre>${renderedResult!""}</pre><#if status == "error"> <h2>错误信息</h2> <p>类型:${errorType!""}</p> <p>消息:${errorMessage!""}</p></#if></body></html>

✨ 推荐的代码搜索关键词
new Template(Template(template.process(StringReader(Configurationprocess(render(evaluate(parseExpression(getTemplate(return pagereturn view@RequestParam@RequestBodyrequest.getParameter(<#include<#import#evaluate(th:utextmodel.addAttribute(model.put(
夜雨聆风