Lua沙盒,具有泄漏特殊功能。
2017-5-23 11:47:58
收藏:0
阅读:161
评论:3
我正在尝试使用 How can I create a secure Lua sandbox? 来创建一个自己的安全性欠缺的沙盒。
我正在尝试创建一个 Lua 沙盒,在其中一些 Lua 函数可以访问沙盒外的一些 Lua 函数。例如,我希望我的沙盒有一个特殊的“display”函数,它可以调用“print”,但沙盒内没有“print”。
主要问题是,我正在尝试在已经存在大量代码的代码库中构建沙盒,因此我无法将函数置空。
这怎么可能实现?
由于不是我的错,解决方案必须是纯 Lua 函数。
原文链接 https://stackoverflow.com/questions/7857101
点赞
stackoverflow用户33252
当你创建一个沙盒时,你需要从一个较大的环境中挑选函数和值,以创建一个新的沙盒环境。你不需要销毁或"唯一化"原始环境。
- 通过挑选函数和值创建你的沙盒环境
- 载入脚本(这将编译它并返回一个可调用的函数)
- 将脚本的环境设置为沙盒环境
- 在沙盒中执行脚本
所以,
local script = loadstring "display(math.log(2, 3))"
local env = {display = print, math = math, string = string}
setfenv(script, env)
pcall(script)
打印
0.69314718055995
而
local script = loadstring "print(math.log(2, 3))"
local env = {display = print, math = math, string = string}
setfenv(script, env)
pcall(script)
失败并返回
false [string "print(math.log(2, 3))"]:1: attempt to call global 'print' (a nil value)
2011-10-22 03:56:41
stackoverflow用户596285
构建您的沙箱(或多个沙箱,如果它们每个都具有不同的要求),并将不受信任的代码逐个移入沙箱。在我的快速cli测试中,5.1和5.2都可以在不修改外部定义的函数的情况下运行。以Doug的示例为例,假设display是您现有的代码的一部分,该代码使用print:
-- 5.1
local function display(...)
print(...)
end
local script = loadstring "display(math.log(2, 3))"
local env = {display = display, math = math, string = string}
setfenv(script, env)
print(pcall(script))
-- 5.2
local function display(...)
print(...)
end
local script = loadstring "display(math.log(2, 3))"
local e=_ENV
_ENV={display = display, math = math, string = string}
e.print(e.pcall(script))
_ENV=e
请注意,上述示例中,display函数使用print,而无需修改该代码,因为定义该函数时您不在沙箱内。
过去,我曾存储一个对非沙箱环境的本地指针,但我无法在我的快速cli测试中重现需要该变量的情况。如果您能想出一个例子,我可能可以想出不需要e变量的解决方法。这是一个使用5.2的示例:
local e=_ENV
for k,v in e.pairs(value) do
-- iterate
end
另一个例子,对于我的只读表格代码,我再次使用了e:
function ro_table (t)
local t = t
if t then
return e.setmetatable({},
{ __index=t,
__newindex= function(_,_,_) e.error ("Attempt to modify read-only table") end,
})
else
return nil
end
end
2011-10-22 13:04:35
评论区的留言会收到邮件通知哦~
作者:
stackoverflow用户139885
推荐文章
- 如何在roblox studio中1:1导入真实世界的地形?
- 求解,lua_resume的第二次调用继续执行协程问题。
- 【上海普陀区】内向猫网络招募【Skynet游戏框架Lua后端程序员】
- SF爱好求教:如何用lua实现游戏内调用数据库函数实现账号密码注册?
- Lua实现网站后台开发
- LUA错误显式返回,社区常见的规约是怎么样的
- lua5.3下载库失败
- 请问如何实现文本框内容和某个网页搜索框内容连接,并把网页输出来的结果反馈到另外一个文本框上
- lua lanes多线程使用
- 一个kv数据库
- openresty 有没有比较轻量的 docker 镜像
- 想问一下,有大佬用过luacurl吗
- 在Lua执行过程中使用Load函数出现问题
- 为什么 neovim 里没有显示一些特殊字符?
- Lua比较两个表的值(不考虑键的顺序)
- 有个lua简单的项目,外包,有意者加微信 liuheng600456详谈,最好在成都
- 如何在 Visual Studio 2022 中运行 Lua 代码?
- addEventListener 返回 nil Lua
- Lua中获取用户配置主目录的跨平台方法
- 如何编写 Lua 模式将字符串(嵌套数组)转换为真正的数组?
你是否一定要调用 Lua 标准库中的
print函数?你是否可以模拟print的功能呢?因为这将是最简单的方法。然而,如果你想要在
print周围包装一层,有两种方法可以做到:用纯 Lua 代码和用 C/C++ 代码。纯 Lua 解决方案如下。请注意,在加载任何外部脚本之前应完成此操作。首先,打开拥有
print的 Lua 标准库。然后运行以下 Lua 脚本:local internal_print = print return function(...) --Do display logic. internal_print(...) --Or whatever else you want. end这将返回“显示”函数。如果愿意,您可以将其存储在名为
display的全局变量中,或者另外命名。之后,可以将
print全局变量变为nil,使其几乎无法访问。如果您想要在 C/C++ 中执行此操作,则非常类似。首先,如上所述,注册包含
print的 Lua 标准库,以便您可以获取其函数。然后,使用lua_getglobal(L, "print")获得print函数并将其推送到堆栈上。接下来,使用lua_pushcclosure注册 C/C++ 函数。但您想要指定一个 Upvalue,Lua 在注册时从栈上弹出它。现在,您的已注册函数位于堆栈上,等待推入 Lua 变量或全局表条目中。
警告:Lua 的调试库可以 pokeat upvalues,因此可以从新函数中获取
print函数。因此,如果您想要完美的安全性,请摆脱debug.getupvalue。