沙盒

wiki

此頁面在範例中使用 setfenv，但 setfenv 在 Lua 5.2 中已不再可用因此需要更新。如果您使用 Lua 5.2 請勿使用此程式碼，我原本想要親自更新，但對於沙盒我沒有任何經驗。

此頁面會針對沙盒議題進行討論：在受限的 Lua 環境中執行不可信任的 Lua 程式碼。

警告！！！

沙盒很棘手，而且一般來說很難做對 [3]。您一開始不應該信任任何事物，只允許您絕對確定安全的事物（例如白名單而非黑名單的做法）。如果對於語言和實作沒有深入了解，便很難確保某段程式碼是安全的（例如哈希表效能可能在少數狀況下出現不佳效能 [4]）。Lua 實作中也可能存在錯誤（請參閱 [bugs]），因此您應該監控郵件清單中的錯誤報告，若發生這類漏洞，可能需要採取進一步的隔離措施，例如作業系統等級的隔離機制（例如受限使用者帳戶或 [chroot 監獄]）。您也應該保持作業系統的修補程式更新，並透過防火牆等方式強化安全性。作業系統等級的資源限制可能也有必要 [5]。限制使用 Lua 語言的子集可以緩解其中的部分疑慮。

請參閱 LibrariesAndBindings 的「Sandboxing」章節中的部分函式庫。

以下註解可能不完整，且僅供作起點。

簡單沙盒

以下是最簡單的沙盒之一。它也是其中限制最多的沙盒，除了不處理資源耗盡問題之外。

-- make environment
local env = {} -- add functions you know are safe here

-- run code under environment [Lua 5.1]
local function run(untrusted_code)
  if untrusted_code:byte(1) == 27 then return nil, "binary bytecode prohibited" end
  local untrusted_function, message = loadstring(untrusted_code)
  if not untrusted_function then return nil, message end
  setfenv(untrusted_function, env)
  return pcall(untrusted_function)
end

-- run code under environment [Lua 5.2]
local function run(untrusted_code)
  local untrusted_function, message = load(untrusted_code, nil, 't', env)
  if not untrusted_function then return nil, message end
  return pcall(untrusted_function)
end

-- test
assert(not run [[print(debug.getinfo(1))]]) --> fails
assert(run [[x=1]]) --> ok
assert(run [[while 1 do end]]) --> ok (but never returns)

此沙盒中的程式碼可以在沙盒環境中建立變數、建立基本型別的值（因此會配置記憶體），以及執行運算。對於記憶體用量和運算沒有限制，因此若未採取進一步限制，不可信賴的程式碼仍然可能嚴重影響系統效能。沙盒無法存取環境外的 I/O、函式和變數。沙盒要與外部世界溝通的唯一途徑是影響其環境（例如在該環境中取得及設定變數，以及呼叫函式），假設沙盒外的程式碼也可以存取那些變數和函式。

您可以撰寫一個剖析器，接受 Lua 語言的子集（例如禁止迴圈），但這可能仍然不足以完全防止 CPU 耗盡。

變數表

以下是 Lua 5.1 變數的清單，說明了它們在沙盒環境中使用的安全性。請注意，變數是否安全可能會**取決於特定應用程式的安全需求**及您的 Lua 狀態。不保證以下清單完整或正確，但這只是一個指南。要建立沙盒，您應從一個空的環境開始，然後只擷取您確定為安全的函式 [1]（即白名單非黑名單）。您不應該依賴手冊提供函式的完整清單（例如 HiddenFeatures）。

注意：以下清單尚未針對 Lua 5.2 更新。

assert - 安全
collectgarbage - 不安全 - 可以對垃圾回收產生全域性和負面的影響
dofile - 不安全 - 可能讀取檔案系統上的任意檔案。它也可以讀取標準輸入。程式碼會在全域環境而不是沙盒中執行，因此這可以用來突破沙盒。相關討論：DofileNamespaceProposal。如果檔案是已編譯的位元組碼，則也不安全（請參閱 load）。
error - 安全
_G - 不安全 - 預設情況下，這包含全域環境。然而，您可能希望將此變數設定為包含沙盒的環境。
getfenv - 不安全 - 這可以找出沙盒外的環境，從而突破沙盒。 LuaList:2007-11/msg00202.html
getmetatable - 不安全 - 注意 getmetatable"" 會傳回字串的元表。修改元表內容可能會中斷依賴這種字串行為的沙盒外程式碼。除非透過 __metatable 適當地保護物件，否則可能會發生類似情況。理想情況下，__metatable 應該是不可變的。
ipairs -- 安全
load - 不安全。傳回的函式有全域環境，進而突破沙盒。更嚴重的是，如果載入位元組碼而不是 Lua 原始碼，這會很危險：LuaList:2010-08/msg00487.html。
loadfile - 不安全。請參閱 load 和 dofile。
loadstring -- 不安全。請參閱 load。即便這個

: 也不安全。例如，pcall(safeloadstring, some_script) 會在全域環境中載入 some_script。 --SergeyRozhenko

next - 安全
pairs - 安全
pcall - 安全
print - 安全（假設輸出到 stdout 是可以的）
rawequal - 不安全（可能？）- 繞過元表
rawget - 不安全 - 繞過元表
rawset - 不安全 - 繞過元表
select - 安全
setfenv - 不安全 - 可以變更呼叫鏈和沙盒外部函式的環境
setmetatable - 不安全 - 請參閱 getmetatable
tonumber - 安全
tostring - 安全
type - 安全
unpack - 安全
_VERSION - 安全
xpcall - 安全
coroutine - 不安全 - 變更此表格可能會影響沙盒外部的程式碼
coroutine.create - 安全
coroutine.resume - 安全
coroutine.running - 安全
coroutine.status - 安全
coroutine.wrap - 安全
coroutine.yield - 安全 (可能) - 假設呼叫者會處理此情況
module - 不安全 - 例如，會變更全域變數 (例如：package.loaded) 並提供存取沙盒外部環境的權限。
require - 不安全 - 會變更全域變數 (例如：package.loaded)，提供存取沙盒外部環境的權限，並存取檔案系統。
package - 不安全 - 變更此表格可能會影響沙盒外部的程式碼
package.* - 不安全 - 會影響沙盒外部的模組載入
package.loaded - 不安全 - 提供存取沙盒外部載入的模組的權限
package.loaders - 不安全 - 提供載入沙盒外部模組的權限
package.loadlib - 不安全 - 會載入任意可執行程式碼，並在 Lua 外執行
package.path/package.cpath - 不安全 (實際上) 由於這可能僅對不安全的函數有幫助。本身應該是安全的，但只是用於讀取。
package.preload - 不安全 (可能) - 可能允許載入沙盒外部的模組
package.seeall - 不安全 - 提供存取全域環境的權限
string - 不安全 - 變更此表格可能會影響沙盒外部的程式碼
string.byte - 安全
string.char - 安全
string.dump - 不安全 (潛在) - 允許查看函式的實作。
string.find - 安全 -- 警告：許多像這樣的函式仍然會鎖定 CPU [6]
string.format - 安全
string.gmatch - 安全
string.gsub - 安全
string.len - 安全
string.lower - 安全
string.match - 安全
string.rep - 安全
string.reverse - 安全
string.sub - 安全
string.upper - 安全
table - 不安全 - 變更此表格可能會影響沙盒外部的程式碼
table.insert - 安全
table.maxn - 安全
table.remove - 安全
table.sort - 安全
math - 不安全 - 變更此表格可能會影響沙盒外部的程式碼
math.abs - 安全
math.acos - 安全
math.asin - 安全
math.atan - 安全
math.atan2 - 安全
math.ceil - 安全
math.cos - 安全
math.cosh - 安全
math.deg - 安全
math.exp - 安全
math.floor - 安全
math.fmod - 安全
math.frexp - 安全
math.huge - 安全
math.ldexp - 安全
math.log - 安全
math.log10 - 安全
math.max - 安全
math.min - 安全
math.modf - 安全
math.pi - 安全
math.pow - 安全
math.rad - 安全
math.random - 安全（大多數情況） - 但要注意，返回的數字是偽隨機，呼叫此函式會影響後續呼叫。這可能會產生統計意義。
math.randomseed - 不安全（可能） - 請參閱 math.random
math.sin - 安全
math.sinh - 安全
math.sqrt - 安全
math.tan - 安全
math.tanh - 安全
io - 不安全 - 修改此表可能會影響沙箱外的程式碼
io.* - 這些程式碼不安全，因為它們提供對檔案系統的存取權。請注意，標準檔案處理常式的io.close（例如 io.stdin）可能不安全，並可能導致系統崩潰。
io.read - 安全（可能）
io.write - 安全（可能） - 注意：可能會耗盡所有磁碟空間，進而導致系統崩潰
io.flush - 安全（可能）
io.type - 安全
os - 不安全 - 修改此表可能會影響沙箱外的程式碼
os.clock - 安全
os.date - 不安全 - 這可能會導致一些平台崩潰（未記錄）。例如，os.date'%v'。據報導，此問題將在 5.2 或 5.1.3 中修正。
os.difftime - 安全
os.execute - 不安全 - 呼叫外部程式
os.exit - 不安全 - 終止程式
os.getenv - 不安全（可能） - 取決於環境變數包含哪些內容
os.remove - 不安全 - 修改檔案系統
os.rename - 不安全 - 修改檔案系統
os.setlocale - 不安全 - 修改全球語言環境，影響沙箱外的程式碼
os.time - 安全
os.tmpname - 不安全（可能） - 僅提供檔案系統結構的某些資訊
debug - 不安全 - 修改此表可能會影響沙箱外的程式碼
debug.* - 不安全 - 此處的函式可以跳出沙箱並存取沙箱外的變數。請注意 Lua 參考手冊中有關 debug 的警告。
newproxy - 不安全（可能） - 這是一個未記載的功能（HiddenFeatures），因此它沒有您可以依賴的指定介面。newproxy(nil) 和 newproxy(true) 可能安全，不過如果停用 getmetatable 幾乎無用，至少對 proxy 無用。newproxy(o)，其中 o 是另一個 proxy 物件，會將 o 的 metatable 指定給新 proxy，因此，對於任何公開 proxy o，可能會對 o 或 o 的 metatable 造成副作用。

--DavidManura

舊意見

匿名者：應考量的攻擊

io 函式，當然必須移除/隱藏/包裝它們
當隱藏 env 時，請確定不受信任的程式碼無法取得 getenv(some_lib_function) 以取回 env
dofile('/home/username/.some_other_app/passwords') 可以讀取完全不相干的 Lua 設定檔
從其他專案載入不相干的 C 函式庫
Lua 5.0：使用者可能可以將 metatable 新增到字串物件中，這會影響所有字串串接，誘使函式庫函式操作錯誤的檔案（Lua 5.1 需要 C API 才能執行此操作）
??? 可能可以預期堆疊追蹤取得 env ???
執行無限迴圈。（不好，但並非真的有害。）
用盡所有可用的記憶體。
檢查重要函式引數（已附加元方法的內容，預期為字串/整數）
一般的 C 內容（緩衝區溢位、整數溢位）只需要小心編碼
針對使用者資料 metatable 的 __gc
目前，配額執行者並未保護不受惡意程式碼使用 pcall（及 xpcall）影響而不安全？[詳細資料]

另請參閱

lua-l 資料庫 [2] 包含有關 sandboxing 的討論。

RecentChanges · 偏好設定
編輯 · 記錄
最後編輯時間 2023 年 12 月 12 日格林威治標準時間下午 6:04 (差異)