JavaScript原型污染漏洞详解<\/h1>

1. 什么是原型污染<\/h2>
原型污染(Prototype Pollution)是一种JavaScript安全漏洞，它允许攻击者向全局对象原型中添加任意属性，这些属性随后可能会被用户定义的对象继承。<\/p>

关键特性：<\/h3>

通常不能作为独立漏洞被利用，但可以与其他漏洞串联<\/li>
在客户端可能导致DOM型XSS攻击<\/li>
在服务器端可能引发远程代码执行(RCE)<\/li>

主要影响内置的全局Object.prototype<\/li> <\/ul>

2. 漏洞产生原理<\/h2>
原型污染漏洞通常发生在JavaScript函数将包含用户可控属性的对象递归合并到现有对象中时，而没有事先对键进行清理。<\/p>

攻击流程：<\/h3>

攻击者注入一个键名为__proto__<\/code>的属性<\/li>
合并操作将嵌套属性分配到对象的原型上而非目标对象本身<\/li>

所有继承该原型的对象都会获得这些恶意属性<\/li>
<\/ol>
关键要素：<\/h3>

污染源<\/strong>：能够注入任意属性的输入点<\/li>
污染接收点(Sink)<\/strong>：能导致代码执行的函数或DOM元素<\/li>
可利用的工具(Gadget)<\/strong>：被传递到接收点且未经适当过滤的属性<\/li>
<\/ol>
3. 污染源分析<\/h2>
3.1 通过URL的原型污染<\/h3>
示例URL：<\/p>
https:\/\/vulnerable-website.com\/?__proto__[evilProperty]=payload
<\/code><\/pre>
解析过程：<\/p>

URL解析器将__proto__<\/code>视为普通字符串<\/li>
键值对被合并到现有对象中<\/li>
JavaScript引擎将__proto__<\/code>视为原型访问器<\/li>
evilProperty<\/code>被赋值给原型对象而非目标对象<\/li>
<\/ol>
3.2 通过JSON输入的原型污染<\/h3>
恶意JSON示例：<\/p>
{
<\/span><\/span>    "__proto__"<\/span>: {
<\/span><\/span>        "evilProperty"<\/span>: "payload"<\/span>
<\/span><\/span>    }
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>关键点：<\/p>

JSON.parse()<\/code>将__proto__<\/code>视为普通字符串键<\/li>
生成的对象具有__proto__<\/code>自有属性<\/li>
后续合并操作可能导致原型污染<\/li>
<\/ul>
4. 污染接收点(Sink)<\/h2>
接收点是能够执行任意代码的JavaScript函数或DOM元素，包括但不限于：<\/p>

eval()<\/code>及相关函数<\/li>
DOM操作函数<\/li>
动态脚本加载<\/li>
模板引擎<\/li>
反序列化函数<\/li>
<\/ul>
5. 可利用的工具(Gadget)<\/h2>
工具特征：<\/h3>

被应用程序以不安全方式使用<\/li>
可通过原型污染被攻击者控制<\/li>
不是对象的自有属性<\/li>
<\/ol>
典型示例：<\/h3>
let<\/span> transport_url<\/span> =<\/span> config<\/span>.transport_url<\/span> ||<\/span> defaults<\/span>.transport_url<\/span>;
<\/span><\/span>let<\/span> script<\/span> =<\/span> document.createElement<\/span>('script'<\/span>);
<\/span><\/span>script<\/span>.src<\/span> =<\/span> transport_url<\/span>;
<\/span><\/span><\/code><\/pre>攻击方式：<\/p>

污染Object.prototype<\/code>添加transport_url<\/code>属性<\/li>
库代码使用被污染的默认值<\/li>
加载恶意脚本<\/li>
<\/ol>
6. 防御措施<\/h2>
6.1 输入验证与过滤<\/h3>

禁止合并包含__proto__<\/code>、constructor<\/code>或prototype<\/code>键的对象<\/li>
使用对象白名单策略<\/li>
<\/ul>
6.2 安全合并函数<\/h3>
实现安全的深度合并函数，例如：<\/p>
function<\/span> safeMerge<\/span>(target<\/span>, source<\/span>) {
<\/span><\/span>    for<\/span> (const<\/span> key<\/span> in<\/span> source<\/span>) {
<\/span><\/span>        if<\/span> (key<\/span> ===<\/span> '__proto__'<\/span> ||<\/span> key<\/span> ===<\/span> 'constructor'<\/span> ||<\/span> key<\/span> ===<\/span> 'prototype'<\/span>) {
<\/span><\/span>            continue<\/span>;
<\/span><\/span>        }
<\/span><\/span>        if<\/span> (typeof<\/span> source<\/span>[key<\/span>] ===<\/span> 'object'<\/span> &&<\/span> source<\/span>[key<\/span>] !==<\/span> null<\/span>) {
<\/span><\/span>            if<\/span> (!<\/span>target<\/span>[key<\/span>]) Object.assign<\/span>(target<\/span>, {[key<\/span>]:<\/span> {}});
<\/span><\/span>            safeMerge<\/span>(target<\/span>[key<\/span>], source<\/span>[key<\/span>]);
<\/span><\/span>        } else<\/span> {
<\/span><\/span>            target<\/span>[key<\/span>] =<\/span> source<\/span>[key<\/span>];
<\/span><\/span>        }
<\/span><\/span>    }
<\/span><\/span>    return<\/span> target<\/span>;
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>6.3 使用Object.create(null)<\/h3>
创建无原型的对象：<\/p>
const<\/span> safeObject<\/span> =<\/span> Object.create<\/span>(null<\/span>);
<\/span><\/span><\/code><\/pre>6.4 冻结原型<\/h3>
防止原型被修改：<\/p>
Object.freeze<\/span>(Object.prototype<\/span>);
<\/span><\/span><\/code><\/pre>6.5 使用Map替代普通对象<\/h3>
对于键值存储，使用Map更安全：<\/p>
const<\/span> safeMap<\/span> =<\/span> new<\/span> Map<\/span>();
<\/span><\/span><\/code><\/pre>7. 检测方法<\/h2>
7.1 手动测试<\/h3>
尝试注入以下payload并观察行为：<\/p>
{"__proto__"<\/span>:<\/span>{"testProperty"<\/span>:<\/span>"testValue"<\/span>}}
<\/span><\/span><\/code><\/pre>7.2 自动化工具<\/h3>

使用专门的扫描工具如PPFuzz<\/li>
结合DAST工具进行检测<\/li>
<\/ul>
8. 实际案例分析<\/h2>
8.1 Lodash漏洞(CVE-2018-3721)<\/h3>

影响版本：< 4.17.5<\/li>
问题函数：_.defaultsDeep<\/code><\/li>
修复方式：添加原型键检查<\/li>
<\/ul>
8.2 jQuery漏洞<\/h3>

影响版本：< 3.4.0<\/li>
问题函数：$.extend<\/code><\/li>
修复方式：深度复制时跳过__proto__<\/code><\/li>
<\/ul>
9. 总结<\/h2>
原型污染是一种危险的JavaScript漏洞，其危害程度取决于：<\/p>

应用程序中存在的可污染属性<\/li>
这些属性被如何使用<\/li>
是否有合适的接收点<\/li>
<\/ol>
防御的关键在于：<\/p>

严格控制对象合并操作<\/li>
避免信任原型链上的属性<\/li>
实施深度防御策略<\/li>
<\/ul>

JavaScript原型污染漏洞详解<\/h1>

1. 什么是原型污染<\/h2> 原型污染(Prototype Pollution)是一种JavaScript安全漏洞，它允许攻击者向全局对象原型中添加任意属性，这些属性随后可能会被用户定义的对象继承。<\/p>

2. 漏洞产生原理<\/h2> 原型污染漏洞通常发生在JavaScript函数将包含用户可控属性的对象递归合并到现有对象中时，而没有事先对键进行清理。<\/p>

3. 污染源分析<\/h2>

5. 可利用的工具(Gadget)<\/h2>

6. 防御措施<\/h2>

7. 检测方法<\/h2>

8. 实际案例分析<\/h2>

1. 什么是原型污染<\/h2>
原型污染(Prototype Pollution)是一种JavaScript安全漏洞，它允许攻击者向全局对象原型中添加任意属性，这些属性随后可能会被用户定义的对象继承。<\/p>

2. 漏洞产生原理<\/h2>
原型污染漏洞通常发生在JavaScript函数将包含用户可控属性的对象递归合并到现有对象中时，而没有事先对键进行清理。<\/p>