开发者社区> 云栖大讲堂> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

BlackHat:大多数网页模板漏洞可被利用轻易突破沙盒

简介:
+关注继续查看

这种注入攻击方式的后果要比XSS更糟糕

在Black Hat 2015大会上,安全研究人员们警告:一个关于web安全脆弱性的新的威胁可能会严重损害我们的安全。

今天,为了在网站页面或邮件中动态地呈现数据,模板引擎被web应用广泛使用。这种技术提供一种服务器端的沙盒。然而,“允许不被信任的用户编辑模板”这种习以为常的惯例引出了一系列严重的风险,而这些风险或许在模板的文件系统中不那么容易被发现。

用户不能安全地向模板中输入数据这种风险确实存在,并极有可能被利用来向服务器中注入恶意代码。

被PortSwigger公司的研究人员称为“服务器端模板注入”这种潜在的攻击方式和跨站点脚本执行(XSS)有明显区别且后果更加严重。

BlackHat:大多数网页模板漏洞可被利用轻易突破沙盒

PortSwigger的技术人员这样解释:

不像XSS攻击那样,模板注入攻击可以被用来直接攻击web服务器的内部并且获得远程代码执行权限(RCE),并使得所有易被攻击的web应用成为一个潜在的攻击跳板。

模板注入攻击可以通过开发者的错误或者那些为了提供更加丰富的功能而特意制作出来的模板来引发,例如维基机密、微博、交易应用以及网站的内容管理系统。

对特定模板的注入攻击很容易使用的,甚至很多模板引擎都为了这一“额外要求”提供了一个特定的沙箱接口。

“这种脆弱性是天生的,并偷偷地影响着任何使用模板引擎搭建起来的web应用”,PortSwigger的创始人兼总裁Dafydd Stuttard说道,“我们已经见识了许多被大众广泛使用的web应用的0day漏洞实例,但是这种脆弱性的发生却频率是未知的,我们经常会偶然发现这样的案例并很容易就锁定了一些目标,它们便是一个个活生生的证明”

在演讲中,PortSwigger研究人员James Kettle呈现了这种风险和对抗的全部细节信息。

演讲涵盖如何发现充分利用这些风险,包括挖掘两款使用非常广泛的web应用的0day漏洞到获得全部远程代码的执行权限。(出于某些法律原因,在本地开发并用于演示的样例目标应用为:Alfresco和XWiki Enterprise)

PortSwigger在演讲中发布了含有全部技术细节的论文。论文包含被漏洞利用的5种使用最广泛的模板引擎的概念性验证代码(POC),以及如何从沙盒中逃离。模板语言包括FreeMarker、Velocity6、Smarty、Twig和Jade,均存在这个漏洞。

在论文的结尾,PortSwigger解释了为什么这类风险被人们忽视了如此长的时间。

“模板注入攻击只会在审计人员明确的寻找它是否存在的时候显现,并且可能会错误地显示为低威胁级别,除非我们将资源投入到模板引擎安全状态的评估方面,”Kettle写道,“这也就解释了为什么模板注入攻击直到今天才被我们关注,而它的广泛流行也是自然而然的。”

现在用于防止“使用模板对于我们的损害”的技术仍旧是不成熟的。PortSwigger计划对适用于web应用的漏洞挖掘安全工具Burp Suite“增派人手”以应对这种威胁。然而,PortSwigger将它的研究成果作为一个被严重忽视的web安全风险而不是一个推销它的技术产品的好时机。

对于此,PortSwigger有它自己的解释。“通过对模板注入攻击相关资料的彻底整理,并发布针对此攻击的自动检测工具Burp Suite,我们希望可以加强大家对于它的防范意识并切实减少这种攻击的流行。”


作者:admin


来源:51CTO


版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
自然语言处理预训练模型招中标公告类型分类服务 Quick Start
自然语言处理(Natural Language Processing,简称NLP),是为各类企业及开发者提供的用于文本分析及挖掘的核心工具,旨在帮助用户高效的处理文本,已经广泛应用在电商、文娱、司法、公安、金融、医疗、电力等行业客户的多项业务中,取得了良好效果。可用于搭建内容搜索、内容推荐、舆情识别分析、对话机器人等智能产品。NLP自学习平台提供了一些预训练的特定领域模型服务。服务无需自主标注训练,直接调用API即可使用。招中标公告类型分类服务适用于作为招标解析服务(高级版)、中标解析服务(高级版)的前处理步骤。本文将使用Java SDK演示招中标公告类型分类服务的快速调用,以供参考。
83 0
【OSS最佳实践】WEB站点中如何应用OSS产品
OSS提供了海量、安全、低成本、高可靠的云存储服务,用户可以通过SDK、API、OSS相关工具等在WEB端应用集成OSS。OSS的优势在于:OSS服务器性能较好,OSS单个bucket存储空间大小不限制,OSS单个bucket出入带宽限制5Gb以上(故大部分情况下,上传下载速度是取决于客户端的带宽)。
10165 0
云计算就像是产业链的重新组合
本文讲的是云计算就像是产业链的重新组合,纪互联副总裁肖峰先生接受有关媒体的采访时表示,从目前中国市场云计算被接受的程度来看,未来还需要经历一段时间的培养,而如果简单的加以描述的话,云计算可以被看成是一种产业链的重新组合。
905 0
C语言程序设计实践(OJ)-用循环解决问题(II)
(1032) 统计字符个数 Description 输入一行字符,分别统计出其中英文字母、数字、空格和其他字符的个数。 Input 一行字符 Output 统计值 Sample Input aklsjflj123 sadf918u324 asdf91u32oasdf/.’;123 Sample Output 23 16 2 4 参考解答 (1923) ASCII码
1324 0
50%带毒网站利用IE新漏洞 用户应打好补丁
12月27日,一个名为“IE7攻击代码(Hack.Exploit.Script.JS.Agent.ic)”的恶意代码本周特别值得注意,它自上周出现后,疯狂势头一直未减。根据瑞星“云安全”系统提供的数据,每天有22万例网络攻击利用该漏洞进行,占据总体网络攻击比例的50%以上,尽管微软已经发布了针对该漏洞的补丁,但很多用户还没来得及弥补,预计此类攻击将持续相当长的时间。
828 0
+关注
云栖大讲堂
擅长前端领域,欢迎各位热爱前端的朋友加入我们( 钉钉群号:23351485)关注【前端那些事儿】云栖号,更多好文持续更新中!
文章
问答
文章排行榜
最热
最新
相关电子书
更多
代码未写,漏洞已出——谈谈设计不当导致的安全问题
立即下载
代码未写,漏洞已出
立即下载
15分钟打造你自己的小程序更新版
立即下载