Lua沙盒 - 消除函数创建 Lua是一种可扩展的、轻量级的脚本语言,经常用于游戏开发和嵌入式设备控制。由于它的灵活性,Lua在安全方面需要格外小心。其中一个问题就是函数创建,它可以让攻击者编写任意代码并在应用程序中执行。为了解决这个问题,Lua具有沙盒,即一个受限制的环境,在这个环境中,攻击者无法访问或修改受保护的对象。 沙盒是如何工作的? 在Lua中,沙盒通过使用元表和__index、__newindex元方法来保护对象。当访问或修改对象时,元方法会被调用,从而允许程序员定义自己的保护规则。例如,可以防止Lua代码通过访问全局变量来执行恶意操作。 消除函数创建 虽然Lua的沙盒提供了一定的保护,但攻击者仍然可以创建新函数并调用它们。这可以通过关闭函数创建功能来解决。在Lua中,可以通过设置debug库中的debug.sethook函数来实现。 此函数允许在程序执行过程中拦截函数的调用。可以使用该功能来检测和阻止尝试创建新函数的行为。 在实现沙盒时,消除函数创建是一个重要的步骤,可以提高应用程序的安全性。
2011-2-23 22:25:33
收藏:0
阅读:156
评论:2
我在 Lua 维基 / 这里 / 等网站上阅读了关于如何一般性地沙盒化 Lua 代码的文章。但是,我没有找到禁止函数创建的方法。例如,这里的示例代码提供了以下样例代码:
assert(run [[function f(x) return x^2 end; t={2}; t[1]=f(t[1])]])
这是在一个空环境中。但我想消除创建函数的能力(代码的第一部分) - 例如,只允许表达式。您有什么想法吗?它必须以某种方式在 C 中进行吗?提前致谢!
原文链接 https://stackoverflow.com/questions/5097993
点赞
stackoverflow用户312586
你可以尝试通过查找字符串 "function" 来检测函数的创建,然后再允许执行 Lua 脚本。比如说通过在C/C++后端实现。
如果出现 "function" 字符串,则抛出 "您不允许创建函数" 的错误并且不执行代码。
需要注意:
- 你可能想要对检测进行一些自定义 - 只有在检测到函数之后跟着空格和一个左括号时才抛出错误,例如。这可以作为练习留给你自己完成。
- 你应该知道,有一些标准的 Lua 函数可以被用户创建 - 比如说
string表格就有很多这样的函数。如果不允许创建函数,那么用户就很难处理字符串了(即使现在处理函数也很困难)。
2011-02-24 16:34:00
评论区的留言会收到邮件通知哦~
作者:
stackoverflow用户277924
推荐文章
- 如何在roblox studio中1:1导入真实世界的地形?
- 求解,lua_resume的第二次调用继续执行协程问题。
- 【上海普陀区】内向猫网络招募【Skynet游戏框架Lua后端程序员】
- SF爱好求教:如何用lua实现游戏内调用数据库函数实现账号密码注册?
- Lua实现网站后台开发
- LUA错误显式返回,社区常见的规约是怎么样的
- lua5.3下载库失败
- 请问如何实现文本框内容和某个网页搜索框内容连接,并把网页输出来的结果反馈到另外一个文本框上
- lua lanes多线程使用
- 一个kv数据库
- openresty 有没有比较轻量的 docker 镜像
- 想问一下,有大佬用过luacurl吗
- 在Lua执行过程中使用Load函数出现问题
- 为什么 neovim 里没有显示一些特殊字符?
- Lua比较两个表的值(不考虑键的顺序)
- 有个lua简单的项目,外包,有意者加微信 liuheng600456详谈,最好在成都
- 如何在 Visual Studio 2022 中运行 Lua 代码?
- addEventListener 返回 nil Lua
- Lua中获取用户配置主目录的跨平台方法
- 如何编写 Lua 模式将字符串(嵌套数组)转换为真正的数组?
如果你只想评估表达式,你可以尝试这个:
function run(s) return loadstring("return "..s)() end(省略错误处理)
这个简单的解决方案可以防止大多数“攻击”,但不能完全消除它们,因为一个人可以说
(function () f=function(x) print"hello" end end)()这定义了一个名为
f的新函数。你最好使用沙箱,不用担心用户对环境做了什么,因为它不会是 你的 环境。