Perl Parser 可以安全地解析任意代码吗？

Question

我很难找到一个权威的答案。 Perl 5 Parser 是否可以安全地解析任意代码？忽略运行或执行代码的含义，解析器本身是否安全？

解析器中允许执行任意代码的漏洞将被视为安全漏洞还是错误？

似乎有些票从安全列表中被拒绝，并在特定于解析器的错误上被推送到一般，

例如，a "Keeper of the Pumpkin" Tony Cook says,

我认为总的来说，我们认为这些问题不是安全问题，毕竟，如果攻击者可以向解析器提供代码，那么你已经很容易受到攻击。

具体来说，我试图澄清这两种威胁模型，

• Safe 假设 Perl 能够正确生成黑名单/白名单操作码树
• Perl (p5p) 假设所有解析都是使用任意代码执行的全部功能完成的，并且如果提供了恶意代码，则您“已经很容易受到攻击”

---

问题

知道你为什么问会很有趣。这方面的信息可以为您提供更好的答案。

如果 perl 解析器无法安全地解析代码，那么我相信没有任何东西可以保护任意 Perl。所以 Safe.pm 和 OpCode.pm 的全部目的是没有意义的，因为你不能安全地生成一个操作码树来修剪（黑名单操作码）。如果是这样，那么文档中的任何地方都不清楚，并且对这种事情保密是一个非常糟糕的主意。命名删除和开放软件以供利用是不安全的。

Answer 1

Perl 5 Parser 可以安全地解析任意代码吗？

没有。

BEGIN { print "This runs at parse time.\n" }

也无法禁用此行为，因为在解析时运行的代码可能会执行解析以下代码所需的操作，例如安装源过滤器或添加关键字。

Answer 2

您不应将不受信任的代码提供给perl。 Perl security model 以数据为中心（例如通过 taint 标志），而不是为代码提供沙箱。 IE。您应该能够编写安全的程序，但不一定能够安全地运行任意程序。所以如果有人能够执行代码，你应该假设他们确实能够执行任何代码。

其中一个方面是 Perl 的多阶段执行模型。 BEGIN 块在解析后立即执行。这是正确解析后续代码所必需的。 use 语句也是 BEGIN 块。所以因为解析的时候必须要执行代码，所以认为先解析Perl代码再执行的想法是不正确的。考虑这个例子：

say 4;
BEGIN {
  say 2;
  BEGIN { say 1 }
  say 3;
}
say 5;

每个 BEGIN 块在解析完成后立即执行，从而产生编号的执行顺序。重要的是，在完成整个文档的解析之前会执行一些代码。

在解析时，perl 编译器会创建一个 optree。这个 optree 既是解析器的抽象语法树，又是 Perl 解释器的操作码。

Perl 确实提供了通过Opcode 模块过滤操作的能力，该模块只能通过前端ops 或Safe 使用。这些可以设置一个掩码，该掩码控制在掩码生效时可以创建哪些操作码。因此，如果我们禁止循环操作码但解析了循环，则解析将在该点失败。重要的是，掩码不会在编译和执行之间过滤操作码（这两个阶段没有明确划分！）。相反，它会阻止这些操作码永远存在。

这有很多重要的警告。

• 解析容易出错。如果解析代码中存在漏洞，则可能会被特制输入利用。

• Safe 模块尝试将允许的操作码列入白名单或黑名单。但是，不一定清楚某组允许的操作码是安全的。 Perl 在设计时并未考虑到沙盒。

  另外，很多功能不是由操作码提供的，而是由子程序提供的，这些子程序可能在操作码掩码到位之前就已经编译好了。它们的功能或实现中的漏洞可用于逃避沙箱。特别是，我希望这里可以使用许多 XS 模块，因为它们经常公开指向 Perl 代码的指针。

如果您必须执行不受信任的 Perl 代码，最好使用操作系统级别的安全功能，可能是 Perl 安全功能的补充。我想到了 Linux 容器化技术。如果您在沙盒进程中执行任何解析 + 执行，这对于不受信任的代码可能足够安全——前提是沙盒配置正确。例如。可以构建一个 seccomp 规则链来允许/拒绝某些系统调用。 Cgroups 可以设置细粒度的资源限制。