這種注入攻擊方式的后果要比XSS更糟糕

在Black Hat 2015大會(huì)上，安全研究人員們警告：一個(gè)關(guān)于web安全脆弱性的新的威脅可能會(huì)嚴(yán)重?fù)p害我們的安全。

今天，為了在網(wǎng)站頁面或郵件中動(dòng)態(tài)地呈現(xiàn)數(shù)據(jù)，模板引擎被web應(yīng)用廣泛使用。這種技術(shù)提供一種服務(wù)器端的沙盒。然而，“允許不被信任的用戶編輯模板”這種習(xí)以為常的慣例引出了一系列嚴(yán)重的風(fēng)險(xiǎn)，而這些風(fēng)險(xiǎn)或許在模板的文件系統(tǒng)中不那么容易被發(fā)現(xiàn)。

用戶不能安全地向模板中輸入數(shù)據(jù)這種風(fēng)險(xiǎn)確實(shí)存在，并極有可能被利用來向服務(wù)器中注入惡意代碼。

被PortSwigger公司的研究人員稱為“服務(wù)器端模板注入”這種潛在的攻擊方式和跨站點(diǎn)腳本執(zhí)行(XSS)有明顯區(qū)別且后果更加嚴(yán)重。

PortSwigger的技術(shù)人員這樣解釋：

不像XSS攻擊那樣，模板注入攻擊可以被用來直接攻擊web服務(wù)器的內(nèi)部并且獲得遠(yuǎn)程代碼執(zhí)行權(quán)限(RCE)，并使得所有易被攻擊的web應(yīng)用成為一個(gè)潛在的攻擊跳板。

模板注入攻擊可以通過開發(fā)者的錯(cuò)誤或者那些為了提供更加豐富的功能而特意制作出來的模板來引發(fā)，例如維基機(jī)密、微博、交易應(yīng)用以及網(wǎng)站的內(nèi)容管理系統(tǒng)。

對(duì)特定模板的注入攻擊很容易使用的，甚至很多模板引擎都為了這一“額外要求”提供了一個(gè)特定的沙箱接口。

“這種脆弱性是天生的，并偷偷地影響著任何使用模板引擎搭建起來的web應(yīng)用”，PortSwigger的創(chuàng)始人兼總裁Dafydd Stuttard說道，“我們已經(jīng)見識(shí)了許多被大眾廣泛使用的web應(yīng)用的0day漏洞實(shí)例，但是這種脆弱性的發(fā)生卻頻率是未知的，我們經(jīng)常會(huì)偶然發(fā)現(xiàn)這樣的案例并很容易就鎖定了一些目標(biāo)，它們便是一個(gè)個(gè)活生生的證明”

在演講中，PortSwigger研究人員James Kettle呈現(xiàn)了這種風(fēng)險(xiǎn)和對(duì)抗的全部細(xì)節(jié)信息。

演講涵蓋如何發(fā)現(xiàn)充分利用這些風(fēng)險(xiǎn)，包括挖掘兩款使用非常廣泛的web應(yīng)用的0day漏洞到獲得全部遠(yuǎn)程代碼的執(zhí)行權(quán)限。(出于某些法律原因，在本地開發(fā)并用于演示的樣例目標(biāo)應(yīng)用為：Alfresco和XWiki Enterprise)

PortSwigger在演講中發(fā)布了含有全部技術(shù)細(xì)節(jié)的論文。論文包含被漏洞利用的5種使用最廣泛的模板引擎的概念性驗(yàn)證代碼(POC)，以及如何從沙盒中逃離。模板語言包括FreeMarker、Velocity6、Smarty、Twig和Jade，均存在這個(gè)漏洞。

在論文的結(jié)尾，PortSwigger解釋了為什么這類風(fēng)險(xiǎn)被人們忽視了如此長(zhǎng)的時(shí)間。

“模板注入攻擊只會(huì)在審計(jì)人員明確的尋找它是否存在的時(shí)候顯現(xiàn)，并且可能會(huì)錯(cuò)誤地顯示為低威脅級(jí)別，除非我們將資源投入到模板引擎安全狀態(tài)的評(píng)估方面，”Kettle寫道，“這也就解釋了為什么模板注入攻擊直到今天才被我們關(guān)注，而它的廣泛流行也是自然而然的。”

現(xiàn)在用于防止“使用模板對(duì)于我們的損害”的技術(shù)仍舊是不成熟的。PortSwigger計(jì)劃對(duì)適用于web應(yīng)用的漏洞挖掘安全工具Burp Suite“增派人手”以應(yīng)對(duì)這種威脅。然而，PortSwigger將它的研究成果作為一個(gè)被嚴(yán)重忽視的web安全風(fēng)險(xiǎn)而不是一個(gè)推銷它的技術(shù)產(chǎn)品的好時(shí)機(jī)。

對(duì)于此，PortSwigger有它自己的解釋。“通過對(duì)模板注入攻擊相關(guān)資料的徹底整理，并發(fā)布針對(duì)此攻擊的自動(dòng)檢測(cè)工具Burp Suite,我們希望可以加強(qiáng)大家對(duì)于它的防范意識(shí)并切實(shí)減少這種攻擊的流行。”