Làm thế nào để ngăn chặn các plugin thực thi mã độc hại

Question

Tôi hiện đang làm việc trên một khuôn khổ rất dựa trên mô-đun và dựa trên plugin cho luận án cử nhân của tôi. Ý tưởng chính là, có một thư mục bên trong cấu trúc ứng dụng của tôi có tên là plugins nơi bạn có thể thả các plugin được biên dịch (ví dụ: .dll -files), phù hợp với giao diện đặc biệt IPlugin. Ứng dụng sau đó thực hiện các tác vụ bằng cách sử dụng plugin mà người dùng chọn. Vì vậy, nếu tôi muốn thực hiện tác vụ một lần trong một tệp PDF, tôi sẽ chọn PdfPlugin và một lần trong tài liệu từ, tôi sẽ chọn DocPlugin cho tác phẩm.

Kết quả cũng được xác định trong giao diện, vì vậy mọi plugin đều trả về cùng cấu trúc dữ liệu. Chỉ công việc thực tế khác nhau đối với mỗi thư viện.

Bây giờ, vì ứng dụng chỉ gọi các phương thức được xác định trong giao diện, ví dụ: ParseDocument() và như vậy, làm cách nào để ngăn các plugin (có thể đã được các bên thứ ba phát triển) thực thi mã độc hại?

Tôi đang làm việc trên .NET3.5 (có thể sẽ chuyển sang 4, chưa được quyết định) và C#.

Answer 1

tôi đang làm việc trên .NET3.5

Trong trường hợp đó, tôi sẽ cô lập Plugins của bạn để chạy trong một riêng biệt AppDomain, sử dụng Code Access Security và hạn chế các thiết lập cho phép của miền ứng dụng. "Sandboxes" của bạn hội đồng plugin của bạn. Ví dụ:

Ví dụ: bạn có thể lấy tất cả các quyền không được quản lý mã và Quyền IO tệp và sau đó plugin của bạn sẽ không bao giờ có thể ghi vào hệ thống tệp.

Điều này không dành cho những người yếu tim. AppDomains có thể khó khăn để làm việc với và yêu cầu serialization, đối tượng chính sách đời, vv Bạn có thể sử dụng MAF vì nó lấy đi rất nhiều hệ thống ống nước.

Answer 2

Tôi biết rằng có khá nhiều nghiên cứu được thực hiện trong lĩnh vực này. Một cách tiếp cận làm việc là kiểm tra mã IL và tìm kiếm các chữ ký bị cấm. Sau đó, bạn có thể chuyển hướng chúng đến một móc lỗi mà sẽ ngăn chặn các plugin nôn thực thi thêm mã.

Một ứng dụng là ví dụ: tăng cường bảo mật cho điện thoại thông minh, nơi bạn có thể kiểm tra mã IL từ các ứng dụng đã tải xuống để truy cập các phương thức vào mô-đun GPS, máy ảnh, micrô .... Ứng dụng bảo mật có thể vá các phương thức truy cập này và hỏi người dùng xem ứng dụng có thực sự được phép bật micrô.

Với .NET, bạn có thể sử dụng trình đọc IL như Mono.Cecil để kiểm tra mã IL cho chữ ký có hại. Nhưng luôn luôn có những cách xung quanh vấn đề này vì bạn vẫn có thể tạo mã động hoặc đơn giản là lưu trữ mã dưới dạng tài nguyên và tải mã đó tại thời điểm phát sóng từ tài nguyên. Đối với một bằng chứng về khái niệm phương pháp này là khá dễ dàng để làm.

Bạn thậm chí có thể viết quy tắc FXCop và sử dụng quy tắc này để kiểm tra tĩnh các plugin cho các cuộc gọi phương thức bị cấm.

Answer 3

Bạn không thể.

Dll là mã nhị phân được thực hiện với các đặc quyền của chương trình gọi. Khi một phương thức từ một DLL được gọi, bạn không thể kiểm soát được nó.

Khi bạn muốn giới hạn những gì một plugin có thể thực hiện, bạn phải di chuyển thực hiện sang chương trình chính của mình.Cách tốt nhất để làm điều này là triển khai các plugin bằng ngôn ngữ kịch bản được phân tích và thực hiện bởi chương trình của bạn thay vì các thư viện nhị phân.