深入解析原型链污染漏洞(CVE-2019-10744):从原理到实战防御

最新推荐文章于 2025-04-30 12:21:51 发布
最新推荐文章于 2025-04-30 12:21:51 发布
阅读量1.1k 收藏 9
点赞数 16
分类专栏: 网络安全学习点滴 前端探秘:问题与原理 文章标签: lodash.js CVE-2019-10744 原型链污染漏洞 前端开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43172311/article/details/146565878
版权

深入解析原型链污染漏洞(CVE-2019-10744)

在这里插入图片描述

漏洞概要

  • CVE编号‌:CVE-2019-10744
  • CVSS评分‌:9.8(Critical)
  • 影响范围‌:lodash < 4.17.12
  • 攻击类型‌:特权升级、XSS攻击、服务端代码注入
  • 修复版本‌:lodash@4.17.12+

‌漏洞原理深度剖析

原型链继承机制

JavaScript中每个对象都包含隐式原型__proto__,指向其构造函数的原型对象。当访问对象属性时,若当前对象不存在该属性,则递归向原型链上层查找。

const child = {};
console.log(child.toString); // 来自Object.prototype

污染原理示意图

注入__proto__属性
攻击者构造的恶意对象
Object.prototype
所有新建对象
继承被污染的属性

漏洞触发条件

  1. 存在深度合并操作‌:如_.merge_.defaultsDeep等函数
  2. 未过滤敏感属性‌:未对__proto__constructor进行过滤
  3. 存在属性继承逻辑‌:业务代码依赖obj.hasOwnProperty()判断

‌漏洞触发机制技术细节

关键缺陷代码分析(以lodash 4.17.11为例)

// 漏洞代码片段(简化版)
function baseMergeDeep(target, source) {
  for (const key of source.keys()) {
    if (key === '__proto__' && !isObject(source[key])) {
      // ❌ 未对__proto__进行过滤处理
      target[key] = source[key] 
    }
    //...递归合并逻辑
  }
}

污染过程分解

  1. 输入反序列化‌JSON.parse('{"__proto__":{"isAdmin":true}}')
  2. 深度合并执行‌_.merge(config, userInput)
  3. 原型链篡改‌Object.prototype.isAdmin = true
  4. 全局属性生效‌({}).isAdmin === true

‌攻击场景实战复现

场景1:权限绕过攻击链分析

‌攻击步骤分解

攻击者 存在漏洞服务端 发送恶意JSON数据{"__proto__":{"role":"admin"}} 使用_.merge合并配置 Object.prototype.role = "admin" 返回普通用户token 携带token请求特权接口 校验req.user.role时触发原型链查找 授权访问成功 攻击者 存在漏洞服务端

‌关键验证代码

// 服务端权限校验逻辑
function checkPermission(user) {
  if (user.role !== 'admin') { // 从原型链读取污染后的值
    throw new Error('Forbidden');
  }
}

场景2:XSS攻击链升级

‌污染模板引擎实例

// 污染Handlebars的转义配置
_.merge({}, {
  __proto__: {
    escapeExpression: str => str.replace(/</g, '&lt;') 
  }
});

// 模板渲染触发XSS
const template = Handlebars.compile("<div>{{{content}}}</div>");
template({content: "<img src=x onerror=alert(1)>"}); 
// 输出: <div><img src=x onerror=alert(1)></div>

‌攻击效果验证

<!-- 实际输出 -->
<div>
  <script>
    fetch('/steal-cookie?data=' + document.cookie)
  </script>
</div>

‌多维防御体系构建

防御层级模型
代码层
框架层
运维层
监控层

具体实施方案

1. 代码层加固

// 安全合并函数实现
function safeMerge(target, source) {
  for (const key in source) {
    if (key === '__proto__' || key === 'constructor') continue;
    if (isObject(source[key])) {
      target[key] = target[key] || {};
      safeMerge(target[key], source[key]);
    } else {
      target[key] = source[key];
    }
  }
}

2. 框架层防护

// Express中间件示例
app.use((req, res, next) => {
  const sanitize = obj => {
    if (obj && typeof obj === 'object') {
      delete obj.__proto__;
      delete obj.constructor;
      Object.values(obj).forEach(sanitize);
    }
  }
  sanitize(req.body);
  next();
});

3. 运维层策略

# 使用Snyk进行依赖扫描
npm install -g snyk
snyk test

技术总结与启示

漏洞本质分析

维度分析结论
攻击面所有涉及深度合并的接口
利用复杂度低(无需特殊权限)
检测难度高(无显式异常日志)
潜在影响RCE、数据泄露、服务瘫痪

行业启示录

  1. 供应链安全‌:2022年Synk报告显示,87%的Node.js项目存在已知漏洞依赖
  2. 安全编码教育‌:OWASP Top 10 2021将"不安全设计"列为新型风险项
  3. 纵深防御体系‌:需建立从CI/CD到Runtime的全流程防护

通过多维度的技术解析和实战案例拆解,我们可以更系统地理解原型链污染漏洞的产生机理与防御方法。在万物互联的时代,唯有将安全思维植入研发全生命周期,才能构建真正的数字防线。

[网络安全自学篇] 七十三.WannaCry勒索病毒复现及分析(四)蠕虫传播机制全网源码详细解读
杨秀璋的专栏
05-05 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了逆向分析OllyDbg动态调试工具的基本用法,包括界面介绍、常用快捷键和TraceMe案例分析。这篇文章将继续详细讲解WannaCry蠕虫的传播机制,带领大家详细阅读源代码,分享WannaCry勒索病毒是如何传播感染的。作者分析该病毒一个月,一方面觉得自己技术菜,另一方面深知系统安全需要坚持,继续加油。希望文章对您有所帮助~
[网络安全自学篇] 八十五.《Windows黑客编程技术详解》之注入技术详解(全局钩子、远线程钩子、突破Session 0注入、APC注入)
热门推荐
杨秀璋的专栏
06-25 2万+
从这篇文章开始,作者将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行分享,并且会进一步补充知识点,希望对您有所帮助。第二篇文章主要介绍4种常见的注入技术,包括全局钩子、远线程钩子、突破SESSION 0隔离的远线程注入、APC注入,案例包括键盘钩子、计算器远线程注入实现、APC注入等,希望对您有所帮助。
JavaScript原型链污染学习记录
Karka_的博客
09-15 645
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。第二种是自学,就是在网上找资源、找教程,或者是想办法认识一-些大佬,抱紧大腿,不过这种方法很耗时间,而且学习没有规划,可能很长一段时间感觉自己没有进步,容易劝退。,发现这是一个迭代合并的过程,先判断是否都为对象。
node.js原型链污染漏洞
weixin_43610673的博客
02-27 3847
node.js入门:http://nodejs.cn/learn/how-much-javascript-do-you-need-to-know-to-use-nodejs 根据上面说明要掌握的JavaScript部分直接看菜鸟教程学。 对象与原型链 JavaScript当中的所有事物都是对象:字符串、数值、数组、函数。对象只是一种特殊的数据。对象拥有属性和方法。 可以这样创建一个对象 var person = {firstName:"John", lastName:"Doe", age:50, eyeCo
[Web/Nodejs]原型链污染EJS模块的利用分析(附源码分析)
車鈊的博客
04-06 2489
EJS _CVE-2019-10744(outputFunctionName) 在EJS引擎当中,存在一个属性opts.outputFunctionName (注:影响该位置的源数据流实际上有很多个,这个属性利用条件相对宽松,只要有就能用) 读源码 ejs作为渲染引擎,包含一些代码执行的功能,帮助将执行结果回显到页面。 【以下代码为exports.render-----调用----->handleCache】 首先调用了render的话(在我们做题时可以看到的表层函数) render调用的handl
ByteCTF_2019&XNUCA_2019部分web题复现
Lethe's Blog
09-11 4969
EzCMS 1、扫描目录有www.zip,下载得到源码。 整个题目的功能如下: index.php页面验证登陆,可以任意账号登陆到upload.php上传页面,但是只有admin账号才能进行文件上传。 访问了upload.php·,就会在沙盒下生成一个.htaccess文件,内容为:lolololol, i control all。 上传文件后,会返回文件的存储路径,view details可以...
浅谈 Nodejs原型链污染
weixin_63231007的博客
03-07 1600
nodejs原型链污染原理及利用
基于K8s的推理副本安全加固实战:从最小权限控制到容器Runtime保护
最新发布
在信息的熵增中,记录结构、重建秩序。 技术思想者的笔记,系统构建者的注释。
04-30 907
随着AI推理平台规模化部署,推理副本在Kubernetes环境中长时间暴露在公网或半公网环境, 容易成为攻击者利用的薄弱环节。 本文以实战为导向,系统剖析推理副本在K8s集群中的安全风险来源, 基于**最小权限原则**与**容器Runtime防护机制**, 详细讲解推理副本从部署、运行到监控全流程的安全加固实战策略, 并结合推理平台业务特性,提出针对GPU资源使用、模型数据保护等特定场景的最佳安全实践, 帮助平台团队构建兼顾性能与安全的推理基础设施体系。
Java 全栈知识体系( PDF 可下载)
m0_67698950的博客
03-17 5756
40000 +字长文总结,民工哥已将此文整理成PDF文档了,需要的见文后下载获取方式。 全栈知识体系总览 Java入门与进阶 面向对象与Java基础 Java 基础 - 面向对象 Java 基础 - 知识点 Java 基础 - 图谱 & Q/A 基础知识点复习完了以后,我们需要深入的理解Java中的一些基础机制: Java 基础 - 泛型机制详解 Java泛型这个特性是从JDK 1.5才开始加入的,因此为了兼容之前的版本
40000+字超强总结?阿里P8把Java全栈知识体系详解整理成这份PDF
xiaohao718的博客
06-27 1538
40000 +字长文总结,已将此文整理成PDF文档了,需要的见文后下载获取方式。全栈知识体系总览Java入门与进阶面向对象与Java基础基础知识点复习完了以后,我们需要深入的理解Java中的一些基础机制:A. Java进阶 - Java 集合框:Java 集合框架应用是极其广泛的,对于其总体框架用法及源码都必要深刻理解。B. Java进阶 - Java 集合框之 Collection源码解读:对核心的Collection类进行源码解读。C. Java进阶 - Java 集合框之 Map & Set 源码解读
新思科技《2022 年开源安全和风险分析》报告分析解读第三篇——许可证/开源维护部分
hhhhh109p的博客
05-24 985
目录 许可证 许可证冲突 无许可证或自定义许可证 各行业许可证合规情况 前十大有冲突的许可证(新增内容) 开源的维护 开源维护者的现状(新增内容) 总结 随着整个社会加速数字化、网络化、智能化,开源已经成为势不可挡的趋势,驱动云计算、大数据、人工智能等技术和产业的进步。而随着开源产业繁荣兴起,开源的安全问题也备受关注。 今年4月,新思科技发布了《2022年开源安全和风险分析》报告(OSSRA)。该报告由新思科技网络安全研究中心(CyRC)制作,共调查了17个行业的2400多个商业代码
【5天打卡】学习Lodash的第四天——安全漏洞学习
happy921212的博客
04-27 2005
避免原型污染有以下几种方法,JQuery的安全漏洞了解,Lodash的安全漏洞等……
西湖论剑-web-real_easy_node
m0_64348326的博客
05-11 486
1.审计index.js,分析路由,其中/copy路由判断ip是否为本地127.0.0.1ip,是则继续判断请求的post参数中是否包含__proto__,这个可以用替换进行绕过。然后继续调用safe-obj模块的expend函数进行copy。2.CVE-2021-25928:分析一下safe-obj的index.js中的。假设我们传入的参数为进入该函数后,首先将我们的进行split(.)分隔成数组,然后判段数组长度是否为1。
前端安全—你必须要注意的依赖安全漏洞
Innocence_0的博客
12-31 1340
事实上,像这样的安全漏洞还可能存在于我们使用的千千万万个不同的开源依赖中,如果我们平时不重视他们,一旦出现问题对我们的项目造成的损失是不可估计的。主要做的就是把需要检查的依赖信息发送给一个官方检查接口, 该结构会在历史上报的漏洞数据库中判断当前依赖信息是否含有漏洞,然后生成一个包含包名称、漏洞严重性、简介、路径等的漏洞报告反馈给开发者。其实开发人员对开源代码的安全性的信任程度要大于对自己编写的代码的安全性的信任程度,但是在确保代码安全性和质量的工具还有很多不足之处。试想一下,如果被修改的属性是。
XNUCA web-Hardjs writeup
weixin_43202322的博客
08-26 661
目录前言0x00 lodash原型污染0x01 污染啥?0x02 插入代码参考 前言 这个web题完美地复刻了今年的两个原型污染漏洞,当时没有意识到会考两个原型污染,就没做出来。 CVE-2019-11358, 利用$.extend进行污染 CVE-2019-10744, 利用defaultsDeep进行污染 0x00 lodash原型污染 阅读代码是使用nodejs编写的后台,网站主要功能是...
你的网站正在裸奔?Lodash原型链污染漏洞引发的“全员恶人“事件
weixin_43172311的博客
03-29 1204
记住:‌你的代码不是法外之地!即使你觉得自己在写业务代码,黑客可能已经在用你的漏洞挖矿了。“程序员和犯罪之间,只差一个未升级的lodash” —— 鲁迅(没说过)‌[立即行动]‌ 检查你的package.json,别让明天的你对着服务器日志哭!💻🔍。
RDP漏洞CVE-2019-0708:从补丁到实战分析与缓解策略
其次,文档重点分析了CVE-2019-0708这个漏洞,这可能是一个与RDP协议相关的远程代码执行漏洞。通过对该漏洞的剖析,读者可以理解漏洞是如何利用RDP协议的弱点来获取系统的控制权,进而可能导致未经授权的访问或恶意...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值