逃脫：與Andy Dufresne不同，我們可不想讓真正的惡意人士脫離控制。

安全研究人員警告稱，一項(xiàng)新型高危網(wǎng)絡(luò)安全漏洞已經(jīng)出現(xiàn)，其擁有引發(fā)各類隱患的恐怖能力。

Web應(yīng)用程序目前廣泛使用模板引擎，旨在通過網(wǎng)頁及電子郵件提供動(dòng)態(tài)數(shù)據(jù)。這項(xiàng)技術(shù)同時(shí)采用一套服務(wù)器端沙箱環(huán)境。然而由于大部分普遍實(shí)踐允許非受信用戶對模板進(jìn)行編輯，因此帶來了一系列非常嚴(yán)重的安全風(fēng)險(xiǎn)，而模板系統(tǒng)的說明文檔當(dāng)中并不一定對此作出了強(qiáng)調(diào)，Web安全企業(yè)PortSwigger公司警告稱。

允許非受信用戶向模板中輸入信息這一安全漏洞有可能被惡意人士用于面向服務(wù)器的惡意代碼注入活動(dòng)。

這類安全漏洞——PortSwigger公司的安全研究人員們將其稱為“服務(wù)器端模板注入”——與廣為人知的Web安全漏洞跨站點(diǎn)腳本(簡稱XSS)注入有所不同，但后果卻更為嚴(yán)重。PortSwigger公司在另一篇白皮書當(dāng)中解釋稱：

與XSS不同，模板注入攻擊能夠被用于直接攻擊Web服務(wù)器內(nèi)部，且通常包含有遠(yuǎn)程代碼執(zhí)行(簡稱RCE)，能夠?qū)⒚恳豢畲嬖诼┒吹膽?yīng)用轉(zhuǎn)化為潛在惡意活動(dòng)支點(diǎn)。

模板注入攻擊的形成原因包括開發(fā)人員失誤以及為了提供豐富功能而造成的模板內(nèi)部暴露，后一種情況經(jīng)常會(huì)出現(xiàn)在維基詞條、博客、市場營銷應(yīng)用以及內(nèi)容管理系統(tǒng)當(dāng)中。

故意模板注入屬于一類常見用例，大部分模板引擎都提供“沙箱”機(jī)制作為解決方案。

“這項(xiàng)漏洞具備通用屬性，其可能會(huì)影響到任何一款以非安全方式使用模板引擎的Web應(yīng)用程序，”PortSwigger Web Security公司創(chuàng)始人兼老總Dafydd Stuttard在采訪中指出。“我們已經(jīng)在涉及多款常用應(yīng)用的真實(shí)場景當(dāng)中發(fā)現(xiàn)了大量由此引發(fā)的零日實(shí)例。這項(xiàng)安全漏洞的惡意利用頻率目前尚不明確，但我們確實(shí)多次在無意中發(fā)現(xiàn)此類案例。在進(jìn)行現(xiàn)場演示時(shí)，我們亦能輕松找到正在發(fā)生的漏洞利用行為。”

PortSwigger公司研究員James Kettle負(fù)責(zé)在拉斯維加斯召開的黑帽安全大會(huì)上披露該項(xiàng)安全漏洞以及應(yīng)對策略的各項(xiàng)細(xì)節(jié)。

本次演講將涵蓋如何發(fā)現(xiàn)該漏洞及如何對其加以利用，具體包括如何在兩款得到廣泛使用的應(yīng)用程序當(dāng)中利用該零日漏洞，從而獲取完整的遠(yuǎn)程代碼執(zhí)行能力。(這里提到的兩款應(yīng)用分別為Alfresco與XWiki Enterprise，為了不觸犯法律條文，它們將以本地方式部署在演示當(dāng)中。)

PortSwigger公司還將發(fā)布一份白皮書，其中詳盡闡述本次演講中所提到的安全漏洞的全部具體細(xì)節(jié)。這份文獻(xiàn)的內(nèi)容包括在五款最具人氣的模板引擎當(dāng)中進(jìn)行安全漏洞概念驗(yàn)證，從用于以安全方式處理用戶提交模板的沙箱環(huán)境中脫離等。根據(jù)這份文獻(xiàn)的觀點(diǎn)(+本站微信networkworldweixin)，包括FreeMarker、Velocity 6、Smarty、Twig(經(jīng)常用于同沙箱環(huán)境配合)以及Jade在內(nèi)的各類模板化語言也都將遭到破解。

作為這份文獻(xiàn)的研究結(jié)論，PortSwigger公司解釋了為何此類安全漏洞長久以來一直沒能得到重視。

“只有那些關(guān)注此類惡意活動(dòng)的人才能識(shí)別出模板注入攻擊，而且在我們投入大量資源評估模板引擎安全水平之前，其嚴(yán)重性往往會(huì)被忽略，”Kettle寫道。“這也解釋了為什么模板注入攻擊直到最近才剛剛得到重視，而且我們尚不能確定其實(shí)際利用頻率。”

用于預(yù)防模板注入攻擊的技術(shù)方案目前還不夠成熟，PortSwigger方面表示。該公司計(jì)劃對自己的漏洞追蹤Burp Suite Web應(yīng)用安全工具作出強(qiáng)化，使其能夠檢測到這類威脅。不過，PortSwigger公司的主要工作仍然是以研究為手段突出這類遭到忽視的Web安全漏洞類別，而非直接拿出用于解決問題的技術(shù)方案。

“通過記錄這一問題并通過Burp Suite發(fā)布自動(dòng)檢測方案，我們希望能夠幫助大家提高相關(guān)安全意識(shí)并顯著降低這項(xiàng)安全漏洞的發(fā)作機(jī)率，”PortSwigger公司解釋道。