博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
BlackHat:大多数网页模板漏洞可被利用轻易突破沙盒
阅读量:7090 次
发布时间:2019-06-28

本文共 1424 字,大约阅读时间需要 4 分钟。

这种注入攻击方式的后果要比XSS更糟糕

在Black Hat 2015大会上,安全研究人员们警告:一个关于web安全脆弱性的新的威胁可能会严重损害我们的安全。

今天,为了在网站页面或邮件中动态地呈现数据,模板引擎被web应用广泛使用。这种技术提供一种服务器端的沙盒。然而,“允许不被信任的用户编辑模板”这种习以为常的惯例引出了一系列严重的风险,而这些风险或许在模板的文件系统中不那么容易被发现。

用户不能安全地向模板中输入数据这种风险确实存在,并极有可能被利用来向服务器中注入恶意代码。

被PortSwigger公司的研究人员称为“服务器端模板注入”这种潜在的攻击方式和跨站点脚本执行(XSS)有明显区别且后果更加严重。

PortSwigger的技术人员这样解释:

不像XSS攻击那样,模板注入攻击可以被用来直接攻击web服务器的内部并且获得远程代码执行权限(RCE),并使得所有易被攻击的web应用成为一个潜在的攻击跳板。

模板注入攻击可以通过开发者的错误或者那些为了提供更加丰富的功能而特意制作出来的模板来引发,例如维基机密、微博、交易应用以及网站的内容管理系统。

对特定模板的注入攻击很容易使用的,甚至很多模板引擎都为了这一“额外要求”提供了一个特定的沙箱接口。

“这种脆弱性是天生的,并偷偷地影响着任何使用模板引擎搭建起来的web应用”,PortSwigger的创始人兼总裁Dafydd Stuttard说道,“我们已经见识了许多被大众广泛使用的web应用的0day漏洞实例,但是这种脆弱性的发生却频率是未知的,我们经常会偶然发现这样的案例并很容易就锁定了一些目标,它们便是一个个活生生的证明”

在演讲中,PortSwigger研究人员James Kettle呈现了这种风险和对抗的全部细节信息。

演讲涵盖如何发现充分利用这些风险,包括挖掘两款使用非常广泛的web应用的0day漏洞到获得全部远程代码的执行权限。(出于某些法律原因,在本地开发并用于演示的样例目标应用为:Alfresco和XWiki Enterprise)

PortSwigger在演讲中发布了含有全部技术细节的论文。论文包含被漏洞利用的5种使用最广泛的模板引擎的概念性验证代码(POC),以及如何从沙盒中逃离。模板语言包括FreeMarker、Velocity6、Smarty、Twig和Jade,均存在这个漏洞。

在论文的结尾,PortSwigger解释了为什么这类风险被人们忽视了如此长的时间。

“模板注入攻击只会在审计人员明确的寻找它是否存在的时候显现,并且可能会错误地显示为低威胁级别,除非我们将资源投入到模板引擎安全状态的评估方面,”Kettle写道,“这也就解释了为什么模板注入攻击直到今天才被我们关注,而它的广泛流行也是自然而然的。”

现在用于防止“使用模板对于我们的损害”的技术仍旧是不成熟的。PortSwigger计划对适用于web应用的漏洞挖掘安全工具Burp Suite“增派人手”以应对这种威胁。然而,PortSwigger将它的研究成果作为一个被严重忽视的web安全风险而不是一个推销它的技术产品的好时机。

对于此,PortSwigger有它自己的解释。“通过对模板注入攻击相关资料的彻底整理,并发布针对此攻击的自动检测工具Burp Suite,我们希望可以加强大家对于它的防范意识并切实减少这种攻击的流行。”

作者:admin

来源:51CTO

转载地址:http://wtbql.baihongyu.com/

你可能感兴趣的文章
Javascript:DOM表格操作
查看>>
解决WCF传输大数据量时出错并提示:远程主机强迫关闭了一个现有的连接
查看>>
蓝桥杯-波动数列
查看>>
图片理论基础
查看>>
HDU4300 Clairewd’s message
查看>>
07.设计模式_适配器模式
查看>>
Unity Shader入门精要学习笔记 - 第10章 高级纹理
查看>>
2012.02.09(如何在Linux的Qt中,在while中按键退出)
查看>>
web基础
查看>>
VMware Workstation ubuntu 扩容
查看>>
JavaScript中使用构造器创建对象无需new的情况
查看>>
使用EasyUI,关于日期格式的文本框按照正常方式获取不到值的问题
查看>>
Struts2中的OGNL
查看>>
MySQL5.7 并行复制配置
查看>>
P3980 [NOI2008]志愿者招募
查看>>
js 继承
查看>>
CF710F String Set Queries
查看>>
HTTP协议详解
查看>>
memcache 基础原理
查看>>
关于Oracle12c的安装心得
查看>>