原型链污染

江湖没什么好的2025-07-24 3:04

原型链污染(Prototype Pollution)是一种针对 JavaScript 应用的安全漏洞,攻击者通过操纵对象的原型链,向基础对象(如 Object.prototype)注入恶意属性,从而影响整个应用程序的行为。以下是详细解析:

核心原理

  1. JavaScript 原型链机制

    • 每个对象都有隐式原型 __proto__(或通过 Object.getPrototypeOf() 访问),指向其构造函数的原型对象。
    • 访问对象属性时,若自身不存在,会沿原型链向上查找(直到 Object.prototype)。
    • 修改原型对象的属性会影响所有继承该原型的对象。

  2. 污染触发条件

    • 当应用递归合并 用户输入的 JSON 数据(如 Object.assign() 或自定义 merge 函数)。
    • 通过路径赋值 动态设置属性(如 obj[a][b] = value)。
    • 攻击者构造包含 __proto__constructor/prototype 的恶意 payload。

攻击示例

场景1:递归合并对象
javascript 复制代码 
function merge(target, source) {
  for (const key in source) {
    if (typeof source[key] === 'object') {
      if (!target[key]) target[key] = {};
      merge(target[key], source[key]); // 递归合并
    } else {
      target[key] = source[key]; // 直接赋值
    }
  }
}

const userInput = JSON.parse('{"__proto__": {"isAdmin": true}}');
merge({}, userInput); // 污染 Object.prototype

// 验证
const obj = {};
console.log(obj.isAdmin); // true!所有对象继承恶意属性
场景2:路径赋值
javascript 复制代码 
function setValue(obj, path, value) {
  const keys = path.split('.');
  let current = obj;
  for (let i = 0; i < keys.length - 1; i++) {
    if (!current[keys[i]]) current[keys[i]] = {};
    current = current[keys[i]];
  }
  current[keys[keys.length - 1]] = value;
}

// 攻击者输入路径 "__proto__.isAdmin" 和值 true
setValue({}, "__proto__.isAdmin", true);

// 验证
console.log(({}).isAdmin); // true

危害

  1. 权限提升 :添加 isAdmin: true 属性绕过身份检查。

  2. 拒绝服务(DoS) :覆盖 toString() 等方法导致应用崩溃。

  3. 远程代码执行(RCE) :结合其他漏洞(如模板注入)执行任意代码。

    javascript 复制代码 
    // 若应用使用 eval 或类似功能
Object.prototype.shell = "require('child_process').exec('rm -rf /')";

防御措施

  1. 避免原型属性操作

    • 使用 Object.create(null) 创建无原型的对象。

    • 检查属性名是否为 __proto__constructorprototype

      javascript 复制代码 
      if (key.includes("__proto__") || key.includes("constructor")) return;

  2. 安全合并对象

    • 使用 Object.assign()(浅拷贝,不递归)替代自定义 merge。
    • 使用三方库如 lodash.merge(其新版已修复污染问题)。

  3. 冻结原型

    javascript 复制代码 
    Object.freeze(Object.prototype); // 禁止修改原型

  4. 使用 Map 替代 ObjectMap 不受原型链影响。

  5. 输入过滤

    • 对用户输入的 JSON 数据过滤敏感键名。
    • 使用 JSON.parse() 替代 eval()

真实案例

  • Lodash(CVE-2018-3721) :旧版 _.defaultsDeep 存在污染漏洞。
  • jQuery(CVE-2019-11358)$.extend(true, {}, payload) 可被利用。
  • Mongoose:未验证查询参数导致污染。

检测工具

  • Scannerpp-finder
  • Chrome DevTools :检查 Object.prototype 是否有异常属性。

总结:原型链污染源于 JavaScript 的动态原型机制,通过严格控制对象操作、避免递归处理用户数据、冻结原型或使用无原型对象,可有效防御此漏洞。

相关推荐
michaelzhouh13 小时前
php项目ueditor上传pdf文件,防止XSS攻击
pdf·php·xss·ueditor
wgego3 天前
做题笔记BUU (XSS-Lab)(1-14)
前端·笔记·xss
mooyuan天天3 天前
CTFHub XSS通关:XSS-过滤关键词
xss·关键字过滤·ctfhub·xss漏洞
一袋米扛几楼983 天前
【软件安全】什么是XSS(Cross-Site Scripting,跨站脚本)?
前端·安全·xss
红树林0713 天前
beef-xss网页无法访问
安全·web安全·xss
xixixi7777714 天前
怎么区分主动攻击和被动攻击啊,为什么跨站脚本是被动攻击?
xss·1024程序员节·跨站脚本·主动攻击·被动攻击
骥龙15 天前
2.6、Web漏洞挖掘实战(下):XSS、文件上传与逻辑漏洞深度解析
前端·xss
-曾牛16 天前
从零到一:XSS靶场 haozi.me 全关卡通关教程(含冷知识汇总)
前端·网络安全·渗透测试·靶场·xss·攻略·靶场教程
无盐海16 天前
XSS漏洞攻击 (跨站脚本攻击)
前端·xss
Forfun_tt16 天前
xss-labs pass-12
前端·xss
热门推荐
01GitHub 镜像站点02BongoCat - 跨平台键盘猫动画工具03UV安装并设置国内源04综合整理:pdf预览显示:你尝试预览的文件可能对你的计算机有害。如果你信任此文件以及其来源,请打开此文件以看其内容,如何解决以正常预览文件05Linux下V2Ray安装配置指南06《大数据技术原理与应用》实验报告三 熟悉HBase常用操作07jdk21下载、安装(Windows、Linux、macOS)08安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)09PyCharm 社区版全平台安装指南10npm使用国内淘宝镜像的方法