开发者社区> 云栖大讲堂> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

BlackHat:大多数网页模板漏洞可被利用轻易突破沙盒

简介:
+关注继续查看

这种注入攻击方式的后果要比XSS更糟糕

在Black Hat 2015大会上,安全研究人员们警告:一个关于web安全脆弱性的新的威胁可能会严重损害我们的安全。

今天,为了在网站页面或邮件中动态地呈现数据,模板引擎被web应用广泛使用。这种技术提供一种服务器端的沙盒。然而,“允许不被信任的用户编辑模板”这种习以为常的惯例引出了一系列严重的风险,而这些风险或许在模板的文件系统中不那么容易被发现。

用户不能安全地向模板中输入数据这种风险确实存在,并极有可能被利用来向服务器中注入恶意代码。

被PortSwigger公司的研究人员称为“服务器端模板注入”这种潜在的攻击方式和跨站点脚本执行(XSS)有明显区别且后果更加严重。

BlackHat:大多数网页模板漏洞可被利用轻易突破沙盒

PortSwigger的技术人员这样解释:

不像XSS攻击那样,模板注入攻击可以被用来直接攻击web服务器的内部并且获得远程代码执行权限(RCE),并使得所有易被攻击的web应用成为一个潜在的攻击跳板。

模板注入攻击可以通过开发者的错误或者那些为了提供更加丰富的功能而特意制作出来的模板来引发,例如维基机密、微博、交易应用以及网站的内容管理系统。

对特定模板的注入攻击很容易使用的,甚至很多模板引擎都为了这一“额外要求”提供了一个特定的沙箱接口。

“这种脆弱性是天生的,并偷偷地影响着任何使用模板引擎搭建起来的web应用”,PortSwigger的创始人兼总裁Dafydd Stuttard说道,“我们已经见识了许多被大众广泛使用的web应用的0day漏洞实例,但是这种脆弱性的发生却频率是未知的,我们经常会偶然发现这样的案例并很容易就锁定了一些目标,它们便是一个个活生生的证明”

在演讲中,PortSwigger研究人员James Kettle呈现了这种风险和对抗的全部细节信息。

演讲涵盖如何发现充分利用这些风险,包括挖掘两款使用非常广泛的web应用的0day漏洞到获得全部远程代码的执行权限。(出于某些法律原因,在本地开发并用于演示的样例目标应用为:Alfresco和XWiki Enterprise)

PortSwigger在演讲中发布了含有全部技术细节的论文。论文包含被漏洞利用的5种使用最广泛的模板引擎的概念性验证代码(POC),以及如何从沙盒中逃离。模板语言包括FreeMarker、Velocity6、Smarty、Twig和Jade,均存在这个漏洞。

在论文的结尾,PortSwigger解释了为什么这类风险被人们忽视了如此长的时间。

“模板注入攻击只会在审计人员明确的寻找它是否存在的时候显现,并且可能会错误地显示为低威胁级别,除非我们将资源投入到模板引擎安全状态的评估方面,”Kettle写道,“这也就解释了为什么模板注入攻击直到今天才被我们关注,而它的广泛流行也是自然而然的。”

现在用于防止“使用模板对于我们的损害”的技术仍旧是不成熟的。PortSwigger计划对适用于web应用的漏洞挖掘安全工具Burp Suite“增派人手”以应对这种威胁。然而,PortSwigger将它的研究成果作为一个被严重忽视的web安全风险而不是一个推销它的技术产品的好时机。

对于此,PortSwigger有它自己的解释。“通过对模板注入攻击相关资料的彻底整理,并发布针对此攻击的自动检测工具Burp Suite,我们希望可以加强大家对于它的防范意识并切实减少这种攻击的流行。”


作者:admin


来源:51CTO


版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
每个人都应该尝试的7个秘密Joomla功能
是什么让您对Joomla感兴趣?对我而言,Joomla强大的自定义功能是此功能强大的CMS中最有趣的事情。每当我探索Joomla的内部设置时,我都会学到新东西。今天,我已经积累了7个有用的Joomla功能,其中许多人可能都不知道。让我们看看这些是什么!
0 0
WordPress再曝流行插件漏洞 影响上千万网站
本文讲的是WordPress再曝流行插件漏洞 影响上千万网站,WordPress的一个最为流行的插件现重大安全漏洞,导致上千万网站面临黑客入侵的危险。
1514 0
安全技术:网页挂马工作原理完全分析
通常,微软IE工作过程描述如下:   作为网页挂马的散布者,其目的是将木马下载到用户本地,并进一步执行,当木马获得执行之后,就意味着会有更多的木马被下载,进一步被执行,进入一个恶性的循环,从而使用户的电脑遭到攻击和控制。
579 0
P2P太假了,光有网站平台,连人都找不着了,更不用说网站大漏洞没人管,呵呵
P2P太假了,光有网站平台,连人都找不着了,更不用说网站大漏洞没人管,呵呵 今天看到乌云有公布了一个p2p网站的漏洞: http://www.wooyun.
721 0
+关注
云栖大讲堂
擅长前端领域,欢迎各位热爱前端的朋友加入我们( 钉钉群号:23351485)关注【前端那些事儿】云栖号,更多好文持续更新中!
文章
问答
文章排行榜
最热
最新
相关电子书
更多
代码未写,漏洞已出——谈谈设计不当导致的安全问题
立即下载
如何产生威胁情报-高级恶意攻击案例分析
立即下载
代码未写,漏洞已出
立即下载