Analyse von Injektionsproblemen in der Python-Template-Engine

In diesem Artikel geht es hauptsächlich um die Analyse des Injektionsproblems der Python-Template-Engine sowie darum, wie man es verhindert und worauf man achten muss. Freunde in Not können sich darauf beziehen

A Die in den letzten Jahren relativ beliebte Sicherheitslücke ist die Injektion von Template-Engines wie Jinjia2. Wir wissen, dass die Sicherheitslücke durch die Injektion einiger spezifischer Befehlsformate der Template-Engine wie {{1+1}} und die Rückgabe von 2 besteht. Tatsächlich gibt es ähnliche Probleme bei nativen Python-Strings, insbesondere nachdem der neue f-String in Python 3.6 hinzugefügt wurde. Obwohl die Verwendung noch nicht klar ist, sollte dies beachtet werden.

Das Original %

userdata = {"user" : "jdoe", "password" : "secret" }
passwd = raw_input("Password: ")

if passwd != userdata["password"]:
  print ("Password " + passwd + " is wrong for user %(user)s") % userdata

Wenn der Benutzer %(Passwort)s eingibt, kann der Benutzer sein habe das echte Passwort erhalten.

Formatierungsmethode bezogen

https://docs.python.org/3/library/functions.html#format

Zusätzlich zum Umschreiben der oben genannten Nutzlast als print („Passwort „ + passwd + „ ist falsch für Benutzer {Benutzer}“).format(**Benutzerdaten) können Sie auch

>>> import os
>>> '{0.system}'.format(os)
&#39;<built-in function system>&#39;

ersetzt zunächst 0 durch die Parameter im Format und ruft dann weiterhin verwandte Attribute ab.

Aber es scheint, dass ich nur Attribute abrufen, aber keine Methoden ausführen kann? Es können aber auch einige sensible Informationen eingeholt werden.

Beispiel: http://www.php.cn/

CONFIG = {
  'SECRET_KEY': 'super secret key'
}

class Event(object):
  def __init__(self, id, level, message):
    self.id = id
    self.level = level
    self.message = message

def format_event(format_string, event):
  return format_string.format(event=event)

Wenn format_string {event.__init__.__globals__[CONFIG ][SECRET_KEY]} kann vertrauliche Informationen preisgeben.

Die f-Zeichenfolge in Python 3.6

Diese Zeichenfolge ist sehr leistungsfähig, ähnlich der Vorlagenzeichenfolge in Javascript ES6, mit der Möglichkeit, Variablen im aktuellen Kontext abzurufen.

https://docs.python.org/3/reference/lexical_analysis.html#f-strings

>>> a = "Hello"
>>> b = f"{a} World"
>>> b
'Hello World'

Und es ist nicht nur auf Attribute beschränkt, der Code kann ausgeführt werden.

>>> import os
>>> f"{os.system('ls')}"
bin   etc   lib   media  proc   run   srv   tmp   var
dev   home   linuxrc mnt   root   sbin   sys   usr
'0'

>>> f"{(lambda x: x - 10)(100)}"
'90'

Aber es scheint keine Möglichkeit zu geben, einen gewöhnlichen String in einen F-String umzuwandeln, was bedeutet, dass der Benutzer möglicherweise keine Kontrolle hat ein F-String ist möglicherweise nicht verfügbar, daher müssen Sie die Suche fortsetzen.

Weitere Artikel zur Injektionsproblemanalyse der Python-Template-Engine finden Sie auf der chinesischen PHP-Website!