Sécurité Java pour l'injection de modèle côté serveur

La prévention de l'injection de modèle côté serveur (SSTI) nécessite quatre aspects: 1. Utilisez des configurations de sécurité, telles que la désactivation des appels de méthode et la restriction de la charge de classe; 2. Évitez l'entrée de l'utilisateur comme contenu de modèle, seul remplacement variable et vérifiez strictement l'entrée; 3. Adopter des environnements de bac à sable, tels que le galet, la moustache ou l'isolement du contexte de rendu; 4. Mettez régulièrement à jour la version dépendante et examinez la logique de code pour vous assurer que le moteur de modèle est configuré raisonnablement et empêcher le système d'être attaqué en raison de modèles contrôlables par l'utilisateur.

L'injection de modèle côté serveur (SSTI) est un problème de sécurité qui est facilement négligé mais présente un risque potentiel très élevé dans les applications Java. Le moteur de modèle est initialement destiné à faciliter les développeurs de générer plus facilement du contenu dynamique, mais s'il est utilisé mal, l'attaquant peut exécuter du code arbitraire par l'injection de modèle, ce qui conduit directement au contrôle du système. Bien que Java ne déclenche pas facilement SSTI comme Python ou PHP, les conséquences seront tout aussi graves en cas de problème.

Ce qui suit est quelques perspectives communes pour parler de la façon d'empêcher SSTI dans les projets Java.

Utilisez une configuration de moteur à modèle sécurisé

De nombreux moteurs de modèle permettent l'exécution de l'expression par défaut, comme le thymeleaf, le freariker et la vitesse. Si ces moteurs n'ont pas de restrictions, ils deviendront facilement l'entrée de SSTI.

Prenez un exemple Freemarker. Par défaut, il permet d'appeler des méthodes Java, telles que ${'abc'.getClass().getName()} pour obtenir le nom de classe et exécuter davantage le code arbitraire. Pour éviter cela, vous pouvez:

• Désactiver les appels de la méthode: cfg.setMethodExposureLevel(Configuration.MethodExposure.LIMITED);
• Désactiver le chargement du modèle de classe: Évitez la saisie de l'utilisateur comme contenu de modèle
• Définissez un mécanisme de liste blanche pour limiter les classes et méthodes accessibles

De même, Thymeleaf a des appels de méthode désactivés dans les expressions par défaut en commençant par 3.0, mais il est toujours recommandé de vérifier la configuration pour s'assurer que les fonctionnalités à haut risque de SpringEL ne sont pas activées.

Évitez d'utiliser la saisie de l'utilisateur comme contenu de modèle

Le problème central de SSTI est que le contenu du modèle est contrôlable. Si votre application permet aux utilisateurs de saisir un texte et de le rendre comme un modèle, c'est presque comme ouvrir la porte aux voleurs.

Par exemple, certains systèmes permettent aux utilisateurs de personnaliser les modèles de messagerie, le contenu de la page, etc. Si ces contenus sont directement remis au moteur de modèle pour le traitement, il est facile d'être injecté dans des expressions malveillantes.

suggestion:

• Ne laissez pas les utilisateurs contrôler la structure du modèle, seul le remplacement variable est autorisé
• Si vous devez laisser l'utilisateur modifier le modèle, envisagez d'utiliser des variables de liste blanche ou rendez-vous avec un environnement de bac à sable
• Échappement strict de la somme de contrôle de la saisie de l'utilisateur, en particulier des caractères spéciaux tels que ${} , #{} , etc.

Rendre des modèles d'utilisateurs à l'aide de bacs de sable ou d'environnements isolés

Si votre application nécessite des modèles définis par l'utilisateur, envisagez d'utiliser des moteurs de modèles de sable ou d'isoler le risque en limitant le contexte.

Par exemple:

• En utilisant Pebble , il n'exécute pas les appels de méthode arbitraire par défaut
• En utilisant la moustache , il s'agit d'un langage de modèle logiquement indépendant et n'est pas facile de déclencher SSTI
• Pour la vitesse, vous pouvez hériter de EventCartridge pour limiter le comportement du modèle

De plus, vous pouvez également envisager d'exécuter le rendu du modèle d'utilisateur dans un JVM ou un conteneur séparé, restreignant ses autorisations, telles que le non-chargement de classes sensibles, l'interdiction de la réflexion, etc.

Revoir régulièrement comment les modèles sont utilisés et les versions dépendantes

Le moteur de modèle lui-même peut également avoir des vulnérabilités de sécurité, telles que les CVE liés à SSTI qui sont apparus dans des versions plus anciennes de la liaison libre ou de la vitesse.

suggestion:

• Gardez les dépendances du moteur à jour avec la dernière version stable
• Analyser les dépendances du projet à l'aide de la dépendance OWASP ou des outils similaires
• Passez en revue la façon dont les appels du modèle dans le code pour éviter d'utiliser une logique d' eval

En général, bien que SSTI en Java ne soit pas aussi courant que les autres langues, il ne peut pas être pris à la légère. Le point clé est: ne laissez pas les utilisateurs contrôler le contenu du modèle, configurez raisonnablement le moteur de modèle et utilisez l'environnement de bac à sable si nécessaire. Fondamentalement, tout cela, les problèmes de sécurité ne sont souvent pas très compliqués, mais sont facilement négligés.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!