“服務(wù)器端模板注入”漏洞被披露出來，那么，它與跨站腳本之間有何區(qū)別?相應(yīng)地，防御策略也是否有所不同?

Michael Cobb：驗(yàn)證并清除來自不受信任來源的輸入是軟件開發(fā)人員需要遵守的重要原則，以防止惡意代碼注入攻擊如跨站腳本(XSS)和SQL注入等。盡管清理用戶輸入是安全編程的核心原則，然而數(shù)據(jù)未被清理的情況仍舊時有發(fā)生，且生成黑客可以攻擊用戶及系統(tǒng)的漏洞。

Web安全公司PortSwigger的研究人員研制了Web應(yīng)用安全測試工具Burp Suite，該工具最新發(fā)現(xiàn)一個不知名的注入漏洞級別的漏洞，他們將其稱作“服務(wù)器端模版注入”。

模版引擎廣泛用于從展示層分離程序邏輯，維基、博客和內(nèi)容管理系統(tǒng)都傾向于使用模版引擎。不僅因?yàn)檫@是良好的編程實(shí)踐，也因?yàn)樗軌蚴苟苌貶TML知識的員工輕松地更新和維護(hù)網(wǎng)站內(nèi)容或編寫HTML格式的電子郵件。它們也讓專業(yè)的網(wǎng)頁設(shè)計(jì)師利用這些代碼快速而高效地建站。流行的模板包括Twig、Jade以及XWike Enterprise。

一些引擎使用簡單的字符串，占位符由數(shù)據(jù)替換。舉個例子，一封電子郵件模板開頭可能是 "Dear {user_firstname}" ，在模板引擎中，"user_firstname" 則由底層數(shù)據(jù)庫中的’first name‘所取代。其他模板也用所謂的"if-defined-conditionals"來測試數(shù)據(jù)存在與否，有些則包括額外的靈活性，諸如用for-each循環(huán)、遞歸宏和嵌入式表達(dá)來提供更豐富的功能。

對于駐留在服務(wù)器上的模板引擎代碼來說，驗(yàn)證和清理任何用戶提供的添加進(jìn)模板的輸入和內(nèi)容都是非常必要的;否則，則很可能發(fā)生服務(wù)器端模板注入攻擊。不像XSS攻擊，它能夠直接攻擊底層Web服務(wù)器，而非只是它的用戶。盡管一些模板引擎部署了沙箱來限制訪問，確保能安全處理不信任的輸入，PortSwigger公司發(fā)現(xiàn)很多這類注入攻擊都能繞過這些沙箱。該項(xiàng)研究解釋了檢測和利用模板注入漏洞的方法，并演示了利用五個最流行模板引擎的各種利用方式，包括沙箱逃避。

目前PortSwigger并不確定該模板注入攻擊有多普遍，不過它打算使用Burp Suite來檢測這類注入漏洞。簡單和相對扁平的模板如Mustache不會引起風(fēng)險(xiǎn)，用戶無法從模板語言中調(diào)用函數(shù)，盡管HTML輸出仍然需要被清理。Wikipedia背后的開源模板引擎MediaWiki是更為靈活的引擎，根據(jù)PortSwigger，其沙箱環(huán)境在防止沾染潛在危險(xiǎn)模塊和功能方面做的非常好。

該研究表明企業(yè)開發(fā)團(tuán)隊(duì)不應(yīng)該盲目依賴網(wǎng)站開發(fā)工具來實(shí)現(xiàn)最佳實(shí)踐。安全團(tuán)隊(duì)需要仔細(xì)評估模板引擎是如何處理用戶輸入的以及內(nèi)置安全檢查或沙箱是否會被規(guī)避。閱讀福袋文檔可以在輸入檢查使顯示明顯的缺點(diǎn)，不過分析師應(yīng)該仔細(xì)檢查模板的代碼以及是哪些引擎能夠允許用戶輸入以及查看是否安全檢查會被繞過。緩解技巧之一就是將模板引擎置于一個強(qiáng)化的Docker容器沙箱環(huán)境中，來追蹤任何惡意代碼執(zhí)行。