我正在考虑让用户通过我的服务器共享他们自己构建的Lua脚本。但是我担心Lua脚本导致的客户端漏洞。根据我的理解,Lua是为了防止这种情况而建立的。但是我看到了一些Lua漏洞利用。我可能会寻找另一种方式,沙盒可能吗?
我的框架建立在Qt之上,我正在考虑使用QtLua。
答案 0 :(得分:2)
Sandbox您的脚本执行并确保禁止在客户端和服务器端加载和执行预编译的字节码。在您的沙箱中,请确保使用“白名单”技术,以便仅向用户脚本提供经过审查且已知的安全(在您的上下文中)操作。
您可能希望在单独的进程(或线程)中运行脚本,并使用平台服务来限制允许脚本使用的CPU时间和内存量,否则被欺骗运行脚本的用户{{1将占用整个CPU核心,并且对内存也有类似的简单攻击。
这是否是一个问题更多的是感知问题恕我直言,因为对个人的个人机器进行简单的拒绝服务攻击的可能性与启用导致密码或银行细节被盗的漏洞不同