摘要:當運行函數的時候,只能訪問自己的本地變量和全局變量,不能訪問構造器被調用生成的上下文的作用域。如何建立一個更安全一些的沙箱通過上文的探究,我們并沒有找到一個完美的方案在建立安全的隔離的沙箱。
有哪些動態執行腳本的場景?
在一些應用中,我們希望給用戶提供插入自定義邏輯的能力,比如 Microsoft 的 Office 中的 VBA,比如一些游戲中的 lua 腳本,FireFox 的「油猴腳本」,能夠讓用戶發在可控的范圍和權限內發揮想象做一些好玩、有用的事情,擴展了能力,滿足用戶的個性化需求。
大多數都是一些客戶端程序,在一些在線的系統和產品中也常常也有類似的需求,事實上,在線的應用中也有不少提供了自定義腳本的能力,比如 Google Docs 中的 Apps Script,它可以讓你使用 JavaScript 做一些非常有用的事情,比如運行代碼來響應文檔打開事件或單元格更改事件,為公式制作自定義電子表格函數等等。
與運行在「用戶電腦中」的客戶端應用不同,用戶的自定義腳本通常只能影響用戶自已,而對于在線的應用或服務來講,有一些情況就變得更為重要,比如「安全」,用戶的「自定義腳本」必須嚴格受到限制和隔離,即不能影響到宿主程序,也不能影響到其它用戶。
而 Safeify 就是一個針對 Nodejs 應用,用于安全執行用戶自定義的非信任腳本的模塊。
怎樣安全的執行動態腳本?我們先看看通常都能如何在 JavaScript 程序中動態執行一段代碼?比如大名頂頂的 eval
eval("1+2")
上述代碼沒有問題順利執行了,eval 是全局對象的一個函數屬性,執行的代碼擁有著和應用中其它正常代碼一樣的的權限,它能訪問「執行上下文」中的局部變量,也能訪問所有「全局變量」,在這個場景下,它是一個非常危險的函數。
再來看看 Functon,通過 Function 構造器,我們可以動態的創建一個函數,然后執行它
const sum = new Function("m", "n", "return m + n"); console.log(sum(1, 2));
它也一樣的順利執行了,使用 Function 構造器生成的函數,并不會在創建它的上下文中創建閉包,一般在全局作用域中被創建。當運行函數的時候,只能訪問自己的本地變量和全局變量,不能訪問 Function 構造器被調用生成的上下文的作用域。如同一個站在地上、一個站在一張薄薄的紙上一樣,在這個場景下,幾乎沒有高下之分。
結合 ES6 的新特性 Proxy 便能更安全一些
function evalute(code,sandbox) { sandbox = sandbox || Object.create(null); const fn = new Function("sandbox", `with(sandbox){return (${code})}`); const proxy = new Proxy(sandbox, { has(target, key) { // 讓動態執行的代碼認為屬性已存在 return true; } }); return fn(proxy); } evalute("1+2") // 3 evalute("console.log(1)") // Cannot read property "log" of undefined
我們知道無論 eval 還是 function,執行時都會把作用域一層一層向上查找,如果找不到會一直到 global,那么利用 Proxy 的原理就是,讓執行了代碼在 sandobx 中找的到,以達到「防逃逸」的目的。
在瀏覽器中,還可以利用 iframe,創建一個再多安全一些的隔離環境,本文著眼于 Node.js,在這里不做過多討論。
在 Node.js 中呢,有沒有其它選擇
或許沒看到這兒之前你就已經想到了 VM,它是 Node.js 默認就提供的一個內建模塊,VM 模塊提供了一系列 API 用于在 V8 虛擬機環境中編譯和運行代碼。JavaScript 代碼可以被編譯并立即運行,或編譯、保存然后再運行。
const vm = require("vm"); const script = new vm.Script("m + n"); const sandbox = { m: 1, n: 2 }; const context = new vm.createContext(sandbox); script.runInContext(context);
執行上這的代碼就能拿到結果 3,同時,通過 vm.Script 還能指定代碼執行了「最大毫秒數」,超過指定的時長將終止執行并拋出一個異常
try { const script = new vm.Script("while(true){}",{ timeout: 50 }); .... } catch (err){ //打印超時的 log console.log(err.message); }
上面的腳本執行將會失敗,被檢測到超時并拋出異常,然后被 Try Cache 捕獲到并打出 log,但同時需要注意的是 vm.Script 的 timeout 選項「只針對同步代有效」,而不包括是異步調用的時間,比如
const script = new vm.Script("setTimeout(()=>{},2000)",{ timeout: 50 }); ....
上述代碼,并不是會在 50ms 后拋出異常,因為 50ms 上邊的代碼同步執行肯定完了,而 setTimeout 所用的時間并不算在內,也就是說 vm 模塊沒有辦法對異步代碼直接限制執行時間。我們也不能額外通過一個 timer 去檢查超時,因為檢查了執行中的 vm 也沒有方法去中止掉。
另外,在 Node.js 通過 vm.runInContext 看起來似乎隔離了代碼執行環境,但實際上卻很容易「逃逸」出去。
const vm = require("vm"); const sandbox = {}; const script = new vm.Script("this.constructor.constructor("return process")().exit()"); const context = vm.createContext(sandbox); script.runInContext(context);
執行上邊的代碼,宿主程序立即就會「退出」,sandbox 是在 VM 之外的環境創建的,需 VM 中的代碼的 this 指向的也是 sandbox,那么
//this.constructor 就是外所的 Object 構建函數 const ObjConstructor = this.constructor; //ObjConstructor 的 constructor 就是外包的 Function const Function = ObjConstructor.constructor; //創建一個函數,并執行它,返回全局 process 全局對象 const process = (new Function("return process"))(); //退出當前進程 process.exit();
沒有人愿意用戶一段腳本就能讓應用掛掉吧。除了退出進程序之外,實際上還能干更多的事情。
有個簡單的方法就能避免通過 this.constructor 拿到 process,如下:
const vm = require("vm"); //創建一外無 proto 的空白對象作為 sandbox const sandbox = Object.create(null); const script = new vm.Script("..."); const context = vm.createContext(sandbox); script.runInContext(context);
但還是有風險的,由于 JavaScript 本身的動態的特點,各種黑魔法防不勝防。事實 Node.js 的官方文檔中也提到「 不要把 VM 當做一個安全的沙箱,去執行任意非信任的代碼」。
有哪些做了進一步工作的社區模塊?
在社區中有一些開源的模塊用于運行不信任代碼,例如 sandbox、vm2、jailed 等。相比較而言 vm2 對各方面做了更多的安全工作,相對安全些。
從 vm2 的官方 README 中可以看到,它基于 Node.js 內建的 VM 模塊,來建立基礎的沙箱環境,然后同時使用上了文介紹過的 ES6 的 Proxy 技術來防止沙箱腳本逃逸。
用同樣的測試代碼來試試 vm2
const { VM } = require("vm2"); new VM().run("this.constructor.constructor("return process")().exit()");
如上代碼,并沒有成功結束掉宿主程序,vm2 官方 REAME 中說「vm2 是一個沙盒,可以在 Node.js 中按全的執行不受信任的代碼」。
然而,事實上我們還是可以干一些「壞」事情,比如:
const { VM } = require("vm2"); const vm = new VM({ timeout: 1000, sandbox: {}}); vm.run("new Promise(()=>{})");
上邊的代碼將永遠不會執行結束,如同 Node.js 內建模塊一樣 vm2 的 timeout 對異步操作是無效的。同時,vm2 也不能額外通過一個 timer 去檢查超時,因為它也沒有辦法將執行中的 vm 終止掉。這會一點點耗費完服務器的資源,讓你的應用掛掉。
那么或許你會想,我們能不能在上邊的 sandbox 中放一個假的 Promise 從而禁掉 Promise 呢?答案是能提供一個「假」的 Promise,但卻沒有辦法完成禁掉 Promise,比如
const { VM } = require("vm2"); const vm = new VM({ timeout: 1000, sandbox: { Promise: function(){}} }); vm.run("Promise = (async function(){})().constructor;new Promise(()=>{});");
可以看到通過一行 Promise = (async function(){})().constructor 就可以輕松再次拿到 Promise 了。從另一個層面來看,況且或許有時我們還想讓自定義腳本支持異步處理呢。
如何建立一個更安全一些的沙箱?通過上文的探究,我們并沒有找到一個完美的方案在 Node.js 建立安全的隔離的沙箱。其中 vm2 做了不少處理,相對來講算是較安全的方案了,但問題也很明顯,比如異步不能檢查超時的問題、和宿主程序在相同進程的問題。
沒有進程隔離時,通過 VM 創建的 sanbox 大體是這樣的
那么,我們是不是可以嘗試,將非受信代碼,通過 vm2 這個模塊隔離在一個獨立的進程中執行呢?然后,執行超時時,直接將隔離的進程干掉,但這里我們需要考慮如下幾個問題
通過進程池統一調度管理沙箱進程
如果來一個執行任務,創建一個進程,用完銷毀,僅處理進程的開銷就已經稍大了,并且也不能不設限的開新進程和宿主應用搶資源,那么,需要建一個進程池,所有任務到來會創建一個 Script 實例,先進入一個 pending 隊列,然后直接將 script 實例的 defer 對象返回,調用處就能 await 執行結果了,然后由 sandbox master 根據工程進程的空閑程序來調度執行,master 會將 script 的執行信息,包括重要的 ScriptId,發送給空閑的 worker,worker 執行完成后會將「結果 + script 信息」回傳給 master,master 通過 ScriptId 識別是哪個腳本執行完畢了,就是結果進行 resolve 或 reject 處理。
這樣,通過「進程池」即能降低「進程來回創建和銷毀的開銷」,也能確保不過度搶占宿主資源,同時,在異步操作超時,還能將工程進程直接殺掉,同時,master 將發現一個工程進程掛掉,會立即創建替補進程。
處理的數據和結果,還有公開給沙箱的方法
進程間如何通訊,需要「動態代碼」處理數據可以直接序列化后通過 IPC 發送給隔離 Sandbox 進程,執行結果一樣經過序列化通過 IPC 傳輸。
其中,如果想法公開一個方法給 sandbox,因為不在一個進程,并不能方便的將一個方案的引用傳遞給 sandbox。我們可以將宿主的方法,在傳遞給 sandbox worker 之類做一下處理,轉換為一個「描述對象」,包括了允許 sandbox 調用的方法信息,然后將信息,如同其它數據一樣發送給 worker 進程,worker 收到數據后,識出來所「方法描述對象」,然后在 worker 進程中的 sandbox 對象上建立代理方法,代理方法同樣通過 IPC 和 master 通訊。
針對沙箱進程進行 CPU 和內存配額限制
在 Linux 平臺,通過 CGoups 對沙箱進程進行整體的 CPU 和內存等資源的配額限制,Cgroups 是 Control Groups 的縮寫,是 Linux 內核提供的一種可以限制、記錄、隔離進程組(Process Groups)所使用的物理資源(如:CPU、Memory,IO 等等)的機制。最初由 Google 的工程師提出,后來被整合進 Linux 內核。Cgroups 也是 LXC 為實現虛擬化所使用的資源管理手段,可以說沒有 CGroups 就沒有 LXC。
最終,我們建立了一個大約這樣的「沙箱環境」
如此這般處理起來是不是感覺很麻煩?但我們就有了一個更加安全一些的沙箱環境了,這些處理。筆者已經基于 TypeScript 編寫,并封裝為一個獨立的模塊 Safeify。
相較于內建的 VM 及常見的幾個沙箱模塊, Safeify 具有如下特點:
為將要執行的動態代碼建立專門的進程池,與宿主應用程序分離在不同的進程中執行
支持配置沙箱進程池的最大進程數量
支持限定同步代碼的最大執行時間,同時也支持限定包括異步代碼在內的執行時間
支持限定沙箱進程池的整體的 CPU 資源配額(小數)
支持限定沙箱進程池的整體的最大的內存限制(單位 m)
GitHub: https://github.com/Houfeng/sa... ,歡迎 Star & Issues
最后,簡單介紹一下 Safeify 如何使用,通過如下命令安裝
npm i safeify --save
在應用中使用,還是比較簡單的,如下代碼(TypeScript 中類似)
import { Safeify } from "./Safeify"; const safeVm = new Safeify({ timeout: 50, //超時時間,默認 50ms asyncTimeout: 500, //包含異步操作的超時時間,默認 500ms quantity: 4, //沙箱進程數量,默認同 CPU 核數 memoryQuota: 500, //沙箱最大能使用的內存(單位 m),默認 500m cpuQuota: 0.5, //沙箱的 cpu 資源配額(百分比),默認 50% }); const context = { a: 1, b: 2, add(a, b) { return a + b; } }; const rs = await safeVm.run(`return add(a,b)`, context); console.log("result",rs);
關于安全的問題,沒有最安全,只有更安全,Safeify 已在一個項目中使用,但自定義腳本的功能是僅針對內網用戶,有不少動態執行代碼的場景其實是可以避免的,繞不開或實在需要提供這個功能時,希望本文或 Safeify 能對大家有所幫助就行了。
-- end --
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/94527.html
摘要:而標準庫中的是不安全的,用戶腳本可以輕易突破沙箱環境,獲取主程序的上述代碼在執行時,程序在第二行就直接退出,虛擬機環境中的代碼逃逸,獲得了主線程的變量,并調用,造成主程序非正常退出。 NPM酷庫,每天兩分鐘,了解一個流行NPM庫。 今天我們要了解的庫是 vm2,則是一個Node.js 官方 vm 庫的替代品,主要解決了安全問題。 不安全的vm 在Node.js官方標準庫中有一個vm庫,...
摘要:中華人民共和國數據安全法關鍵信息基礎設施安全保護條例都將于年月日起開始施行,中華人民共和國個人信息保護法也在最近正式發布,將于年月日起施行。毫無疑問,隱私計算是一塊市場大蛋糕。 《中華人民共和國數據安全法》、《關鍵信息基礎設施安全保護條例》都將于2021年9月1日起開始施行,《中華人民共和國個人信息保護法》也在最近正式發布,將于2021年11月1日起施行。我國在安全立法方面三箭齊發,顯示出...
摘要:第一個主要的包管理器在被引用后不久就搭建起來了,并且迅速成為世界上最受歡迎的包管理器之一。簡介是一款新的包管理器,在取代客戶端和其他包管理器現有工作流的同時,又保留了對代理的兼容性。 在JavaScript社區,工程師們分享了成百上千的代碼段,我們不用自己從頭編寫基礎組件、類庫或者框架。反過來,每段代碼又或許依賴于其它的代碼段,而這些依賴就是通過 package managers(包管...
閱讀 582·2021-11-22 14:45
閱讀 3070·2021-10-15 09:41
閱讀 1555·2021-10-11 10:58
閱讀 2797·2021-09-04 16:45
閱讀 2606·2021-09-03 10:45
閱讀 3238·2019-08-30 15:53
閱讀 1221·2019-08-29 12:28
閱讀 2133·2019-08-29 12:14