Python 템플릿 엔진의 주입 문제 분석

이 글에서는 주로 Python 템플릿 엔진의 주입 문제에 대한 분석과 이를 방지하는 방법 및 주의해야 할 사항에 대해 설명합니다.

A 지난 몇 년 동안 상대적으로 많이 발생했던 취약점은 jinjia2와 같은 템플릿 엔진의 인젝션에서 {{1+1}}과 같은 템플릿 엔진의 특정 명령어 형식을 인젝션하고 2를 반환함으로써 취약점의 존재를 알 수 있습니다. 실제로 Python 네이티브 문자열에도 유사한 문제가 존재하며, 특히 Python 3.6에 새로운 f 문자열이 추가된 이후에는 활용도가 아직 명확하지 않지만 주목해야 합니다.

원래 %

userdata = {"user" : "jdoe", "password" : "secret" }
passwd = raw_input("Password: ")

if passwd != userdata["password"]:
  print ("Password " + passwd + " is wrong for user %(user)s") % userdata

사용자가 %(password)s를 입력하면 사용자의 실제 신원은 비밀번호를 얻으세요.

포맷 방법 관련

https://docs.python.org/3/library/functions.html#format

위 페이로드를 print("Password " + passwd + "는 사용자 {user}의 경우 잘못되었습니다.").format(**userdata)로 다시 작성하는 것 외에도

>>> import os
>>> '{0.system}'.format(os)
&#39;<built-in function system>&#39;

은 먼저 0을 형식의 매개변수로 바꾼 다음 관련 속성을 계속해서 얻습니다.

그런데 속성만 얻을 수 있고 메소드를 실행할 수는 없는 것 같은데요? 그러나 일부 민감한 정보도 얻을 수 있습니다.

예: http://www.php.cn/

CONFIG = {
  'SECRET_KEY': 'super secret key'
}

class Event(object):
  def __init__(self, id, level, message):
    self.id = id
    self.level = level
    self.message = message

def format_event(format_string, event):
  return format_string.format(event=event)

format_string이 {event.__init__.__globals__[CONFIG][인 경우 SECRET_KEY]}는 민감한 정보를 유출할 수 있습니다.

Python 3.6의 f 문자열

이 문자열은 매우 강력하며 Javascript ES6의 템플릿 문자열과 유사하며 현재 컨텍스트에서 변수를 얻는 기능이 있습니다.

https://docs.python.org/3/reference/lexical_analytic.html#f-strings

>>> a = "Hello"
>>> b = f"{a} World"
>>> b
'Hello World'

그리고 속성에만 국한되지 않고 코드 실행도 가능합니다.

>>> import os
>>> f"{os.system('ls')}"
bin   etc   lib   media  proc   run   srv   tmp   var
dev   home   linuxrc mnt   root   sbin   sys   usr
'0'

>>> f"{(lambda x: x - 10)(100)}"
'90'

하지만 일반 문자열을 f-문자열로 변환할 방법이 없는 것 같습니다. 이는 사용자가 f를 제어하지 못할 수도 있음을 의미합니다. -string.을 활용하려면 계속해서 확인해야 합니다.

Python 템플릿 엔진의 주입 문제 분석과 관련된 더 많은 기사를 보려면 PHP 중국어 웹사이트를 주목하세요!