jQuery
jquery3.4.0(3.4.0及以后版本已修复)之前版本中extend函数会导致原型污染。
let a = $.extend(true, {}, JSON.parse('{"__proto__": {"devMode": true}}'))
console.log({}.devMode); // jquery3.4.0版本前会输出true
解决方法:在遍历对象时,当遇见 __proto__ 敏感属性,则退出程序。
lodash
lodash 版本4.7.12(4.7.12及以后版本已修复)之前defaultsDeep函数会污染原型。
const payload = '{"constructor": {"prototype": {"lodash": true}}}'
_.defaultsDeep({}, JSON.parse(payload))
console.log({}.lodash); // lodash4.7.12版本前会输出true
解决方法:在遍历 merge 时,当遇见 constructor 以及 __proto__ 敏感属性,则退出程序。
总结
如果你还在使用jQuery3.4.0之前版本或者lodash4.7.12之前版本,建议升级至版本 jQuery 3.4.0及以上、lodash4.7.12及以上,否则你的应用程序和网站仍有可能遭受攻击。
避免原型污染有以下几种方法:
-
冻结 Object.prototype,使原型不能扩充属性
Object.freeze() 方法可以冻结一个对象。一个被冻结的对象再也不能被修改;冻结了一个对象则不能向这个对象添加新的属性,不能删除已有属性,不能修改该对象已有属性的可枚举性、可配置性、可写性,以及不能修改已有属性的值。此外,冻结一个对象后该对象的原型也不能被修改。freeze() 返回和传入的参数相同的对象。Object.freeze(Object.prototype);
-
使用无原型对象Object.create(null)
-
建立一个名单专门用来存储敏感属性,遇到时过滤它
-
使用一些第三方工具来检验代码的安全性,比如Snyk、JFrog Xray
还有一个感悟就是引入的第三方库不一定是安全的,那么要如何保证第三方库的安全性呢?
- 尽量用大公司出名的库,并及时更新已有的库的版本
- 使用工具来监测代码的安全性,比如Snyk、JFrog Xray
- 直接通过 iframe 隔离代码
- 实现对第三方代码的隔离
- 全局写一些方法防止代码受到污染
- 如果你是大神也可以自己查看库源码
参考链接
jQuery prototype pollution vulnerability
jQuery 修复原型污染 PR
Snyk research team discovers severe prototype pollution security vulnerabilities affecting all versions of lodash
Lodash 严重安全漏洞背后 你不得不知道的 JavaScript 知识