“服務(wù)器端模板注入”漏洞被披露出來(lái)，那么，它與跨站腳本之間有何區(qū)別?相應(yīng)地，防御策略也是否有所不同?

Michael Cobb：驗(yàn)證并清除來(lái)自不受信任來(lái)源的輸入是軟件開(kāi)發(fā)人員需要遵守的重要原則，以防止惡意代碼注入攻擊如跨站腳本(XSS)和SQL注入等。盡管清理用戶(hù)輸入是安全編程的核心原則，然而數(shù)據(jù)未被清理的情況仍舊時(shí)有發(fā)生，且生成黑客可以攻擊用戶(hù)及系統(tǒng)的漏洞。

Web安全公司PortSwigger的研究人員研制了Web應(yīng)用安全測(cè)試工具Burp Suite，該工具最新發(fā)現(xiàn)一個(gè)不知名的注入漏洞級(jí)別的漏洞，他們將其稱(chēng)作“服務(wù)器端模版注入”。

模版引擎廣泛用于從展示層分離程序邏輯，維基、博客和內(nèi)容管理系統(tǒng)都傾向于使用模版引擎。不僅因?yàn)檫@是良好的編程實(shí)踐，也因?yàn)樗軌蚴苟苌貶TML知識(shí)的員工輕松地更新和維護(hù)網(wǎng)站內(nèi)容或編寫(xiě)HTML格式的電子郵件。它們也讓專(zhuān)業(yè)的網(wǎng)頁(yè)設(shè)計(jì)師利用這些代碼快速而高效地建站。流行的模板包括Twig、Jade以及XWike Enterprise。

一些引擎使用簡(jiǎn)單的字符串，占位符由數(shù)據(jù)替換。舉個(gè)例子，一封電子郵件模板開(kāi)頭可能是 "Dear {user_firstname}" ，在模板引擎中，"user_firstname" 則由底層數(shù)據(jù)庫(kù)中的’first name‘所取代。其他模板也用所謂的"if-defined-conditionals"來(lái)測(cè)試數(shù)據(jù)存在與否，有些則包括額外的靈活性，諸如用for-each循環(huán)、遞歸宏和嵌入式表達(dá)來(lái)提供更豐富的功能。

對(duì)于駐留在服務(wù)器上的模板引擎代碼來(lái)說(shuō)，驗(yàn)證和清理任何用戶(hù)提供的添加進(jìn)模板的輸入和內(nèi)容都是非常必要的;否則，則很可能發(fā)生服務(wù)器端模板注入攻擊。不像XSS攻擊，它能夠直接攻擊底層Web服務(wù)器，而非只是它的用戶(hù)。盡管一些模板引擎部署了沙箱來(lái)限制訪問(wèn)，確保能安全處理不信任的輸入，PortSwigger公司發(fā)現(xiàn)很多這類(lèi)注入攻擊都能繞過(guò)這些沙箱。該項(xiàng)研究解釋了檢測(cè)和利用模板注入漏洞的方法，并演示了利用五個(gè)最流行模板引擎的各種利用方式，包括沙箱逃避。

目前PortSwigger并不確定該模板注入攻擊有多普遍，不過(guò)它打算使用Burp Suite來(lái)檢測(cè)這類(lèi)注入漏洞。簡(jiǎn)單和相對(duì)扁平的模板如Mustache不會(huì)引起風(fēng)險(xiǎn)，用戶(hù)無(wú)法從模板語(yǔ)言中調(diào)用函數(shù)，盡管HTML輸出仍然需要被清理。Wikipedia背后的開(kāi)源模板引擎MediaWiki是更為靈活的引擎，根據(jù)PortSwigger，其沙箱環(huán)境在防止沾染潛在危險(xiǎn)模塊和功能方面做的非常好。

該研究表明企業(yè)開(kāi)發(fā)團(tuán)隊(duì)不應(yīng)該盲目依賴(lài)網(wǎng)站開(kāi)發(fā)工具來(lái)實(shí)現(xiàn)最佳實(shí)踐。安全團(tuán)隊(duì)需要仔細(xì)評(píng)估模板引擎是如何處理用戶(hù)輸入的以及內(nèi)置安全檢查或沙箱是否會(huì)被規(guī)避。閱讀福袋文檔可以在輸入檢查使顯示明顯的缺點(diǎn)，不過(guò)分析師應(yīng)該仔細(xì)檢查模板的代碼以及是哪些引擎能夠允許用戶(hù)輸入以及查看是否安全檢查會(huì)被繞過(guò)。緩解技巧之一就是將模板引擎置于一個(gè)強(qiáng)化的Docker容器沙箱環(huán)境中，來(lái)追蹤任何惡意代碼執(zhí)行。