原型链污染

江湖没什么好的2025-07-24 3:04

原型链污染(Prototype Pollution)是一种针对 JavaScript 应用的安全漏洞,攻击者通过操纵对象的原型链,向基础对象(如 Object.prototype)注入恶意属性,从而影响整个应用程序的行为。以下是详细解析:

核心原理

  1. JavaScript 原型链机制

    • 每个对象都有隐式原型 __proto__(或通过 Object.getPrototypeOf() 访问),指向其构造函数的原型对象。
    • 访问对象属性时,若自身不存在,会沿原型链向上查找(直到 Object.prototype)。
    • 修改原型对象的属性会影响所有继承该原型的对象。

  2. 污染触发条件

    • 当应用递归合并 用户输入的 JSON 数据(如 Object.assign() 或自定义 merge 函数)。
    • 通过路径赋值 动态设置属性(如 obj[a][b] = value)。
    • 攻击者构造包含 __proto__constructor/prototype 的恶意 payload。

攻击示例

场景1:递归合并对象
javascript 复制代码 
function merge(target, source) {
  for (const key in source) {
    if (typeof source[key] === 'object') {
      if (!target[key]) target[key] = {};
      merge(target[key], source[key]); // 递归合并
    } else {
      target[key] = source[key]; // 直接赋值
    }
  }
}

const userInput = JSON.parse('{"__proto__": {"isAdmin": true}}');
merge({}, userInput); // 污染 Object.prototype

// 验证
const obj = {};
console.log(obj.isAdmin); // true!所有对象继承恶意属性
场景2:路径赋值
javascript 复制代码 
function setValue(obj, path, value) {
  const keys = path.split('.');
  let current = obj;
  for (let i = 0; i < keys.length - 1; i++) {
    if (!current[keys[i]]) current[keys[i]] = {};
    current = current[keys[i]];
  }
  current[keys[keys.length - 1]] = value;
}

// 攻击者输入路径 "__proto__.isAdmin" 和值 true
setValue({}, "__proto__.isAdmin", true);

// 验证
console.log(({}).isAdmin); // true

危害

  1. 权限提升 :添加 isAdmin: true 属性绕过身份检查。

  2. 拒绝服务(DoS) :覆盖 toString() 等方法导致应用崩溃。

  3. 远程代码执行(RCE) :结合其他漏洞(如模板注入)执行任意代码。

    javascript 复制代码 
    // 若应用使用 eval 或类似功能
Object.prototype.shell = "require('child_process').exec('rm -rf /')";

防御措施

  1. 避免原型属性操作

    • 使用 Object.create(null) 创建无原型的对象。

    • 检查属性名是否为 __proto__constructorprototype

      javascript 复制代码 
      if (key.includes("__proto__") || key.includes("constructor")) return;

  2. 安全合并对象

    • 使用 Object.assign()(浅拷贝,不递归)替代自定义 merge。
    • 使用三方库如 lodash.merge(其新版已修复污染问题)。

  3. 冻结原型

    javascript 复制代码 
    Object.freeze(Object.prototype); // 禁止修改原型

  4. 使用 Map 替代 ObjectMap 不受原型链影响。

  5. 输入过滤

    • 对用户输入的 JSON 数据过滤敏感键名。
    • 使用 JSON.parse() 替代 eval()

真实案例

  • Lodash(CVE-2018-3721) :旧版 _.defaultsDeep 存在污染漏洞。
  • jQuery(CVE-2019-11358)$.extend(true, {}, payload) 可被利用。
  • Mongoose:未验证查询参数导致污染。

检测工具

  • Scannerpp-finder
  • Chrome DevTools :检查 Object.prototype 是否有异常属性。

总结:原型链污染源于 JavaScript 的动态原型机制,通过严格控制对象操作、避免递归处理用户数据、冻结原型或使用无原型对象,可有效防御此漏洞。

相关推荐
宋浮檀s2 天前
应急响应——Web高危漏洞应急(SQL注入+XSS跨站+文件上传)
前端·网络·安全·web安全·xss
沄媪4 天前
XSS 跨站脚本攻击
前端·ctf·xss
杨运交4 天前
[024][Web模块]基于 AntiSamy 的 Spring Boot XSS 防护实践:从过滤器到反序列化的多层防御
前端·spring boot·xss
李白你好5 天前
[特殊字符] XSS漏洞演示靶场 - 交互式XSS攻击演示平台,包含钓鱼攻击、Cookie窃取演示,适合安全教育教学
前端·安全·xss
你觉得脆皮鸡好吃吗7 天前
XSS渗透 Session
前端·网络·xss·网络安全学习
顾凌陵8 天前
XSS漏洞攻击的溯源分析与实战
xss
vortex59 天前
XSS 漏洞深度挖掘与利用:从自动化扫描到账户接管
前端·自动化·xss
IT布道9 天前
[Web安全] SVG文件上传风险与Apache防御配置实践
web安全·apache·xss
kft131410 天前
XSS深度剖析:从弹窗到持久化窃取Cookie
前端·web安全·xss·安全测试
德迅云安全-小潘10 天前
了解并防范跨站脚本攻击,XSS攻击全解析,德迅云安全SCDN提供全方位的安全
网络·安全·xss
热门推荐
01GitHub 镜像站点02【AI】2026 年具身智能模型和世界模型总结03【踩坑记录 | 第一篇】微软商店无法使用时,如何手动安装 OpenAI Codex?附`.msix`文件系统错误解决方法042026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf05Codex 接入 DeepSeek API 完整配置文档06CC-Switch & Claude 基于 Linux 服务器安装使用指南07裂开!ChatGPT 居然开始要手机号验证,附详细解决方法08Codex 下载安装指南:Windows 和 macOS 官方版下载09几个好用的ip纯净度检测网站10DeepSeek V4 + Claude Code thinking mode 400 错误修复方案