이 글에서는 주로 Python 템플릿 엔진의 주입 문제에 대한 분석과 이를 방지하는 방법 및 주의해야 할 사항에 대해 설명합니다.
A 지난 몇 년 동안 상대적으로 많이 발생했던 취약점은 jinjia2와 같은 템플릿 엔진의 인젝션에서 {{1+1}}과 같은 템플릿 엔진의 특정 명령어 형식을 인젝션하고 2를 반환함으로써 취약점의 존재를 알 수 있습니다. 실제로 Python 네이티브 문자열에도 유사한 문제가 존재하며, 특히 Python 3.6에 새로운 f 문자열이 추가된 이후에는 활용도가 아직 명확하지 않지만 주목해야 합니다.
원래 %
userdata = {"user" : "jdoe", "password" : "secret" } passwd = raw_input("Password: ") if passwd != userdata["password"]: print ("Password " + passwd + " is wrong for user %(user)s") % userdata
사용자가 %(password)s를 입력하면 사용자의 실제 신원은 비밀번호를 얻으세요.
포맷 방법 관련
https://docs.python.org/3/library/functions.html#format
위 페이로드를 print("Password " + passwd + "는 사용자 {user}의 경우 잘못되었습니다.").format(**userdata)로 다시 작성하는 것 외에도
>>> import os >>> '{0.system}'.format(os) '<built-in function system>'
은 먼저 0을 형식의 매개변수로 바꾼 다음 관련 속성을 계속해서 얻습니다.
그런데 속성만 얻을 수 있고 메소드를 실행할 수는 없는 것 같은데요? 그러나 일부 민감한 정보도 얻을 수 있습니다.
예: http://www.php.cn/
CONFIG = { 'SECRET_KEY': 'super secret key' } class Event(object): def __init__(self, id, level, message): self.id = id self.level = level self.message = message def format_event(format_string, event): return format_string.format(event=event)
format_string이 {event.__init__.__globals__[CONFIG][인 경우 SECRET_KEY]}는 민감한 정보를 유출할 수 있습니다.
Python 3.6의 f 문자열
이 문자열은 매우 강력하며 Javascript ES6의 템플릿 문자열과 유사하며 현재 컨텍스트에서 변수를 얻는 기능이 있습니다.
https://docs.python.org/3/reference/lexical_analytic.html#f-strings
>>> a = "Hello" >>> b = f"{a} World" >>> b 'Hello World'
그리고 속성에만 국한되지 않고 코드 실행도 가능합니다.
>>> import os >>> f"{os.system('ls')}" bin etc lib media proc run srv tmp var dev home linuxrc mnt root sbin sys usr '0' >>> f"{(lambda x: x - 10)(100)}" '90'
하지만 일반 문자열을 f-문자열로 변환할 방법이 없는 것 같습니다. 이는 사용자가 f를 제어하지 못할 수도 있음을 의미합니다. -string.을 활용하려면 계속해서 확인해야 합니다.
Python 템플릿 엔진의 주입 문제 분석과 관련된 더 많은 기사를 보려면 PHP 중국어 웹사이트를 주목하세요!