jQuery和lodash导致原型污染的安全问题

最新推荐文章于 2024-05-02 14:11:11 发布
最新推荐文章于 2024-05-02 14:11:11 发布
阅读量931 收藏
点赞数
分类专栏: JavaScript 文章标签: javascript web安全 jquery lodash
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qwe435541908/article/details/105409231
版权

jQuery

jquery3.4.0(3.4.0及以后版本已修复)之前版本中extend函数会导致原型污染。

let a = $.extend(true, {}, JSON.parse('{"__proto__": {"devMode": true}}'))
console.log({}.devMode); // jquery3.4.0版本前会输出true

解决方法:在遍历对象时,当遇见 __proto__ 敏感属性,则退出程序。
在这里插入图片描述

lodash

lodash 版本4.7.12(4.7.12及以后版本已修复)之前defaultsDeep函数会污染原型。

const payload = '{"constructor": {"prototype": {"lodash": true}}}'
_.defaultsDeep({}, JSON.parse(payload))
console.log({}.lodash); // lodash4.7.12版本前会输出true

解决方法:在遍历 merge 时,当遇见 constructor 以及 __proto__ 敏感属性,则退出程序。
在这里插入图片描述

总结

如果你还在使用jQuery3.4.0之前版本或者lodash4.7.12之前版本,建议升级至版本 jQuery 3.4.0及以上、lodash4.7.12及以上,否则你的应用程序和网站仍有可能遭受攻击。

避免原型污染有以下几种方法:

  1. 冻结 Object.prototype,使原型不能扩充属性
    Object.freeze() 方法可以冻结一个对象。一个被冻结的对象再也不能被修改;冻结了一个对象则不能向这个对象添加新的属性,不能删除已有属性,不能修改该对象已有属性的可枚举性、可配置性、可写性,以及不能修改已有属性的值。此外,冻结一个对象后该对象的原型也不能被修改。freeze() 返回和传入的参数相同的对象。

    Object.freeze(Object.prototype);

  2. 使用无原型对象Object.create(null)

  3. 建立一个名单专门用来存储敏感属性,遇到时过滤它

  4. 使用一些第三方工具来检验代码的安全性,比如Snyk、JFrog Xray

还有一个感悟就是引入的第三方库不一定是安全的,那么要如何保证第三方库的安全性呢?

  1. 尽量用大公司出名的库,并及时更新已有的库的版本
  2. 使用工具来监测代码的安全性,比如Snyk、JFrog Xray
  3. 直接通过 iframe 隔离代码
  4. 实现对第三方代码的隔离
  5. 全局写一些方法防止代码受到污染
  6. 如果你是大神也可以自己查看库源码

参考链接

jQuery prototype pollution vulnerability
jQuery 修复原型污染 PR

Snyk research team discovers severe prototype pollution security vulnerabilities affecting all versions of lodash
Lodash 严重安全漏洞背后 你不得不知道的 JavaScript 知识

My_Bells
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
前端安全——最新:lodash原型漏洞从发现到修复全过程
qq_34761385的博客
03-18 3446
人生的精彩就在于你永远不知道惊喜和意外谁先来,又是一个平平无奇的早晨,我收到了一份意外的惊喜——前端某项目出现lodash依赖原型污染漏洞。咋一听,很新奇。再仔细一看,呕吼,更加好奇了~然后就是了解和修补漏洞之旅。最后的最后,却发现其实这个漏洞修复起来很简单。但是我的整个过程却是充满曲折和离奇。特此记录一下。
最新:Lodash 严重安全漏洞背后你不得不知道的 JavaScript 知识
qq_53058639的博客
01-04 941
通过分析 lodash 的漏洞,以及解决方案,我们了解了原型污染的方方面面。Object 原型原型原型链NodeJS 相关问题Object.create 方法Object.freeze 方法Map 数据结构深拷贝以及其他问题这么来看,全是基础知识。也正是基础,构成了前端知识体系的方方面面。这篇文章灵感来源于我们的群中的相关讨论:这是一个什么群呢?咳咳。。。前端开发核心知识进阶。
最新前端安全——最新:lodash原型漏洞从发现到修复全过程_lodash 4
最新发布
2401_84301853的博客
05-02 685
又为用户输入的数据,那么,在调用时就会非常不安全了。lodash原型污染漏洞出现在版本以下,我们可以来看下,依赖源码出现漏洞的地方:结论: 实现了一个 safeGet 的函数来避免获取原型上的值。但是没有考虑到构造方法。
JQuery+lodash双色球
qq_45021603的博客
05-08 405
JQuery+lodash双色球效果图CSSHTMLJS 效果图 CSS <style> * { margin: 0; padding: 0; } header { width: 1200px; height: 300px; ...
[WEB/Nodejs]原型污染lodash的利用方法分析
車鈊的博客
04-06 567
lodash.template 显式的lodashs.merge存在原型污染漏洞,为了对其进行利用,需要找到可以对原型进行修改的逻辑。 options的sourceURL options是一个对象,sourceURL是通过下面的语句赋值的,options默认没有sourceURL属性,所以sourceURL默认也是为空。 var sourceURL = 'sourceURL' in options ? '//# sourceURL=' + options.sourceURL + '\n' : ''; 给
jquery,underscore,lodash那些事儿
weixin_30617561的博客
12-31 232
一、参考链接 https://jquery.com/ https://en.wikipedia.org/wiki/JQuery https://developer.mozilla.org/zh-CN/docs/Glossary/jQuery http://underscorejs.org/ http://www.css88.com/doc/underscore/ http://java...
从架构入手轻松读懂框架源码-以jQuery,Zepto,Vue和lodash-es为例
小分享
02-13 1366
不知道有没有朋友有这种经历。雄心勃勃的打开一个开源框架的源码,开始看,一行一行的看下去,看了几行就感觉,“我艹,这什么玩意儿”,然后就看不下去了。如果你有类似的经历,可以看看本文,本文会讲解几种常见的开源框架的代码架构,从架构出发,帮你轻松读懂框架源码。记住以下两个要点: 不要试图一行一行的往下读 先找入口,再理架构,依流程读下去 jQueryjQuery为例,来看看他的基本架构,然后再...
javaScript的Lodash库和jQuery库和layui库
zy的博客
04-04 983
javaScript库 JavaScript库:即 library,是一个封装好的特定的集合(方法和函数)。从封装一大堆函数的角度理解库,就是在这个库中,封装了很多预先定义好的函数在里面,比如动画animate、hide、show,比如获取元素等。 简单理解: 就是一个JS 文件,里面对我们原生js代码进行了封装,存放到里面。这样我们可以快速高效的使用这些封装好的功能了。 比如 jQuery,就是为了快速方便的操作DOM,里面基本都是函数(方法)。 常见的JavaScript 库:jQuery、Prot
jquery-lodash-online-store:使用lodashjquery创建的电子商务单页应用
05-08
jquery-lodash-online-store 使用lodashjquery创建的电子商务单页应用
jQuery原型属性和原型方法详解
10-23
边文章主要给大家介绍了jQuery原型属性constructor,selector,length,jquery原型方法size,get,toArray,十分的详细,有需要的小伙伴可以参考下。
vue+jquery+lodash实现滑动时顶部悬浮固定效果
12-29
本文实例为大家分享了vue实现滑动时顶部悬浮固定效果的具体代码,供大家参考,具体内容如下...引入lodash.js npm install lodash -D fixTop.vue组件的 <header class=header ref=header></header> <div class
jQuery_的原型关系图
05-05
jQuery_的原型关系图
socketio-chat-room-app:使用socketio的nodejs聊天室应用程序表达jquerylodash
05-01
社交聊天室应用使用socketio的Nodejs聊天室应用程序表达了jquerylodash。特征用户登录群聊私人味精发送img 发送链接实时用户在线列表安装$ cd dillinger$ npm install$ node admin/bin/socketio.js
渗透攻击漏洞——原型污染
qq_44640313的博客
10-24 686
简单认识原型污染
jquery使用lodash
hitler_yuzhan的博客
07-09 539
jquery使用lodash jquery使用lodash只需要在html中引入,不需要再import或require 使用的时候直接下划线就行 <script src="lodash.js"></script> <script> const ary = [1, 2, 3] let cloneAry = _.cloneDeep(ary) </script> ...
JavaScript原型污染攻击
BerL1n
07-18 7165
在理解攻击方法之前先了解一下js的面向对象编程的特点。 由于js非常面向对象的编程特性,js有很多神奇的操作。 在js中你可以用各种方式操作自己的对象。 0x01 prototype和__proto__分别是什么? JavaScript中,我们如果要定义一个类,需要以定义“构造函数”的方式来定义: function Foo() { this.bar = 1 } new Foo() ...
lodash
qq_34849000的博客
11-12 887
小结: lodash是js集Array/Object/String/Function的Util于一身。 lodash打包了Array/Object/String/Function里一些Api,好处是连ES6的也打包了,所以让你想在ES5环境下使用诸如Array#reduce#includes#some#every等时可以借lodash来帮忙 lodash可以让代码更简短,以下列几个最频繁使用
框架设计原理与实战:从jQueryLodash
禅与计算机程序设计艺术
11-11 92
1.背景介绍 jQuery简介 jQuery是一个轻量级、功能丰富的JavaScript库,能够帮助开发者快速简洁地处理DOM、Event、Ajax等相关事务,是目前最流行的JavaScript库之一。jQuery号称是世界上最快的JavaScript框架,其具有强大的选择器、AJAX交互能力、事件处理能力
jQuery框架漏洞全总结及开发建议
热门推荐
iokla
10-02 1万+
一、jQuery简介 jQuery是一个快速、简洁的JavaScript框架,是一个丰富的JavaScript代码库。jQuery设计的目的是为了写更少的代码,做更多的事情。它封装JavaScript常用的功能代码,提供一种简便的JavaScript设计模式,优化HTML文档操作、事件处理、动画设计和Ajax交互。 据一项调查报告,在对433,000个网站的分析中发现,77%的网站至少使用了一个具有已知安全漏洞的前端JavaScript库,而jQuery位列榜首,而且远远超过其他库。但事实上这些库有可用的不
jQuery 的“原型污染安全漏洞修复方法
05-26
jQuery 的“原型污染安全漏洞是由于攻击者能够修改 Object.prototype 对象中的属性,从而影响到 jQuery 中的一些函数,导致安全问题。要修复这个漏洞,可以采用以下两种方法: 1. 使用 jQuery 的 noConflict() 方法,它可以将 $ 符号的控制权交回给原来的库,从而避免冲突和污染。例如: ``` <script src="other_library.js"></script> <script src="jquery.js"></script> <script> var $j = jQuery.noConflict(); // 使用 $j 替代 $ </script> ``` 2. 在使用 jQuery 的时候,尽量不要使用 $ 符号,而是使用 jQuery 关键字,例如: ``` jQuery(document).ready(function() { // ... }); ``` 这样可以避免与其他库的冲突,并且不会受到 Object.prototype 被污染的影响。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值