逃脫：與Andy Dufresne不同，我們可不想讓真正的惡意人士脫離控制。

安全研究人員警告稱，一項新型高危網絡安全漏洞已經出現，其擁有引發各類隱患的恐怖能力。

Web應用程序目前廣泛使用模板引擎，旨在通過網頁及電子郵件提供動態數據。這項技術同時采用一套服務器端沙箱環境。然而由于大部分普遍實踐允許非受信用戶對模板進行編輯，因此帶來了一系列非常嚴重的安全風險，而模板系統的說明文檔當中并不一定對此作出了強調，Web安全企業PortSwigger公司警告稱。

允許非受信用戶向模板中輸入信息這一安全漏洞有可能被惡意人士用于面向服務器的惡意代碼注入活動。

這類安全漏洞——PortSwigger公司的安全研究人員們將其稱為“服務器端模板注入”——與廣為人知的Web安全漏洞跨站點腳本(簡稱XSS)注入有所不同，但后果卻更為嚴重。PortSwigger公司在另一篇白皮書當中解釋稱：

與XSS不同，模板注入攻擊能夠被用于直接攻擊Web服務器內部，且通常包含有遠程代碼執行(簡稱RCE)，能夠將每一款存在漏洞的應用轉化為潛在惡意活動支點。

模板注入攻擊的形成原因包括開發人員失誤以及為了提供豐富功能而造成的模板內部暴露，后一種情況經常會出現在維基詞條、博客、市場營銷應用以及內容管理系統當中。

故意模板注入屬于一類常見用例，大部分模板引擎都提供“沙箱”機制作為解決方案。

“這項漏洞具備通用屬性，其可能會影響到任何一款以非安全方式使用模板引擎的Web應用程序，”PortSwigger Web Security公司創始人兼老總Dafydd Stuttard在采訪中指出。“我們已經在涉及多款常用應用的真實場景當中發現了大量由此引發的零日實例。這項安全漏洞的惡意利用頻率目前尚不明確，但我們確實多次在無意中發現此類案例。在進行現場演示時，我們亦能輕松找到正在發生的漏洞利用行為。”

PortSwigger公司研究員James Kettle負責在拉斯維加斯召開的黑帽安全大會上披露該項安全漏洞以及應對策略的各項細節。

本次演講將涵蓋如何發現該漏洞及如何對其加以利用，具體包括如何在兩款得到廣泛使用的應用程序當中利用該零日漏洞，從而獲取完整的遠程代碼執行能力。(這里提到的兩款應用分別為Alfresco與XWiki Enterprise，為了不觸犯法律條文，它們將以本地方式部署在演示當中。)

PortSwigger公司還將發布一份白皮書，其中詳盡闡述本次演講中所提到的安全漏洞的全部具體細節。這份文獻的內容包括在五款最具人氣的模板引擎當中進行安全漏洞概念驗證，從用于以安全方式處理用戶提交模板的沙箱環境中脫離等。根據這份文獻的觀點(+本站微信networkworldweixin)，包括FreeMarker、Velocity 6、Smarty、Twig(經常用于同沙箱環境配合)以及Jade在內的各類模板化語言也都將遭到破解。

作為這份文獻的研究結論，PortSwigger公司解釋了為何此類安全漏洞長久以來一直沒能得到重視。

“只有那些關注此類惡意活動的人才能識別出模板注入攻擊，而且在我們投入大量資源評估模板引擎安全水平之前，其嚴重性往往會被忽略，”Kettle寫道。“這也解釋了為什么模板注入攻擊直到最近才剛剛得到重視，而且我們尚不能確定其實際利用頻率。”

用于預防模板注入攻擊的技術方案目前還不夠成熟，PortSwigger方面表示。該公司計劃對自己的漏洞追蹤Burp Suite Web應用安全工具作出強化，使其能夠檢測到這類威脅。不過，PortSwigger公司的主要工作仍然是以研究為手段突出這類遭到忽視的Web安全漏洞類別，而非直接拿出用于解決問題的技術方案。

“通過記錄這一問題并通過Burp Suite發布自動檢測方案，我們希望能夠幫助大家提高相關安全意識并顯著降低這項安全漏洞的發作機率，”PortSwigger公司解釋道。