koishi-plugin-eval 漏洞整理

[shigma]

这个 issue 用于整理 koishi-plugin-eval 中存在的漏洞。对漏洞的定义包括：

• 修改用户数据的行为
• 实现沙箱逃逸的行为
• 获取文件路径的行为
• 导致主线程崩溃的行为

提交漏洞时请附上代码。

[shigma]

多次 log 无法决定消息的发送顺序。

Fixed in bfe718e.

[undefined-moe]

eval(session.message.split('>>')[1])

Fixed in 0c66d22.

[shigma]

通过 SIGINT 终止主线程时有小概率发生子线程再次重启的问题。

Fixed in aad8ece.

[shigma]

部分对象的 inspect 行为不一致。

>> new Date()
Date {}

>> new String("123")
String { '0': '1', '1': '2', '2': '3' }

Related issue: patriksimek/vm2#314.

• Date / RegExp / Error are fixed in 3aed061.
• String / Number / Boolean are fixed in 240ed9c.

[shigma]

>> [1, 2, 3]
// 无输出

Fixed in Mrs4s/go-cqhttp@4941f0c.

[takayama-lily]

从vm2的issue里跳过来的。。当初觉得vm2有很多问题就还是用了vm
对于逃逸是这么解决的

//外部
Function.prototype.constructor = new Proxy(Function, {
    apply: ()=>{
        throw Error()
    },
    constructor: ()=>{
        throw Error()
    }
})
Object.freeze(Object)
Object.freeze(Object.prototype)
Object.freeze(Function)
Object.freeze(Function.prototype)

对于爆内存好像没什么好的解决办法

[shigma]

@takayama-lily 上面的问题其实都解决了，逃逸这里跟 vm2 有点不太一样，因为 koishi-plugin-eval 是单一的环境，只要你在沙箱外部避免这些操作就没事