共享 Lua 脚本的安全性

Question

我正在考虑让用户通过我的服务器共享他们自己构建的 Lua 脚本。但是，我担心 Lua 脚本引起的客户端漏洞。据我了解，Lua 是为了防止这种情况而构建的。但是我已经看到了一些 Lua 漏洞。我是否应该寻求另一种方式，也许可以使用沙盒？

我的框架是基于 Qt 构建的，我正在考虑使用 QtLua。

Answer 1

Sandbox您的脚本执行，并确保禁止在客户端和服务器端加载和执行预编译的字节码。在您的沙盒中，确保向我们提供“白名单”技术，以便仅向用户脚本提供经过审查和已知的安全（在您的上下文中）操作。

您可能希望在单独的进程（或线程）中运行脚本并使用平台服务来限制允许脚本消耗的 CPU 时间和内存量，否则用户会被欺骗运行脚本repeat until false将消耗整个 CPU 内核，并且对内存进行类似的简单攻击。

这是否是一个问题，恕我直言，这是一个感知问题，因为对个人个人计算机的简单拒绝服务攻击的可能性与启用导致密码或银行详细信息被盗的漏洞利用的可能性不同.