主流Web模板安全破绽招致沙箱为歹意人士所破

逃脱：与Andy Dufresne不同，咱们可不想让真正的歹意人士脱离控制。

安全研讨职员忠告称，一项新型高危网络安全破绽曾经出现，其拥有引发各种隐患的恐怖能力。

Web应用顺序现在广泛应用模板引擎，旨在经由过程网页及电子邮件供给动态数据。这项技巧同时采用一套服务器端沙箱情况。然而由于大部分普遍实践允许非受信用户对模板停止编辑，因此带来了一系列非常严重的安全风险，而模板系统的说明文档傍边并不一定对此作出了强调，Web安全企业PortSwigger公司忠告称。

允许非受信用户向模板中输入信息这一安全破绽有可能被歹意人士用于面向服务器的歹意代码注入运动。

这类安全破绽——PortSwigger公司的安全研讨职员们将其称为“服务器端模板注入”——与广为人知的Web安全破绽跨站点脚本(简称XSS)注入有所不同，但后果却更为严重。PortSwigger公司在另一篇白皮书傍边说明称：

与XSS不同，模板注入攻打可能被用于直接攻打Web服务器内部，且通常包含有远程代码履行(简称RCE)，可能将每一款存在破绽的应用转化为潜在歹意运动支点。

模板注入攻打的形成原因包含开发职员失误以及为了供给丰富功能而造成的模板内部暴露，后一种情况经常会出现在维基词条、博客、市场营销应用以及内容管理系统傍边。

故意模板注入属于一类常见用例，大部分模板引擎都供给“沙箱”机制作为处理计划。

“这项破绽具备通用属性，其可能会影响到任何一款以非安全方法应用模板引擎的Web应用顺序，”PortSwigger Web Security公司创始人兼老总Dafydd Stuttard在采访中指出。“咱们曾经在涉及多款常用应用的真实场景傍边发明了大量由此引发的零日实例。这项安全破绽的歹意应用频率现在尚不明确，但咱们确实多次在无意中发明此类案例。在停止现场演示时，咱们亦能轻松找到正在发生的破绽应用行为。”

PortSwigger公司研讨员James Kettle负责在拉斯维加斯召开的黑帽安全大会上披露该项安全破绽以及应对策略的各项细节。

本次报告将涵盖怎样发明该破绽及怎样对其加以应用，具体包含怎样在两款失掉广泛应用的应用顺序傍边应用该零日破绽，从而获取完整的远程代码履行能力。(这里提到的两款应用分别为Alfresco与XWiki Enterprise，为了不触犯法律条文，它们将以本地方法部署在演示傍边。)

PortSwigger公司还将宣布一份白皮书，其中详尽阐述本次报告中所提到的安全破绽的全部具体细节。这份文献的内容包含在五款最具人气的模板引擎傍边停止安全破绽概念验证，从用于以安全方法处理用户提交模板的沙箱情况中脱离等。根据这份文献的观点(+本站微信networkworldweixin)，包含FreeMarker、Velocity 6、Smarty、Twig(经常用于同沙箱情况配合)以及Jade在内的各种模板化语言也都将遭到破解。

作为这份文献的研讨结论，PortSwigger公司说明了为何此类安全破绽长久以来一直没能失掉器重。

“只有那些关注此类歹意运动的人才能识别出模板注入攻打，而且在咱们投入大量资源评估模板引擎安全水平之前，其严重性往往会被忽略，”Kettle写道。“这也说明了为什么模板注入攻打直到最近才刚刚失掉器重，而且咱们尚不能确定其实际应用频率。”

用于预防模板注入攻打的技巧计划现在还不够成熟，PortSwigger方面表示。该公司计划对自己的破绽追踪Burp Suite Web应用安全工具作出强化，使其可能检测到这类威胁。不过，PortSwigger公司的主要工作仍然是以研讨为手段突出这类遭到忽视的Web安全破绽类别，而非直接拿出用于处理问题的技巧计划。

“经由过程记录这一问题并经由过程Burp Suite宣布自动检测计划，咱们希望可能帮助大家提高相关安全意识并显著降低这项安全破绽的发作机率，”PortSwigger公司说明道。

转载自:https://netsecurity.51cto.com/art/201508/487932.htm

声明: 除非转自他站（如有侵权，请联系处理）外，本文采用 BY-NC-SA 协议进行授权 | 嗅谱网
转载请注明：转自《主流Web模板安全破绽招致沙箱为歹意人士所破》
本文地址：http://www.xiupu.net/archives-4411.html
关注公众号：