在说原型污染漏洞之前,我们先说一下什么是原型。
JavaScript 中的每个对象都链接到某种对象,称为其原型。默认情况下,JavaScript 会自动为新对象分配一个内置的全局原型。按我的理解,可以把原型理解为父类,JavaScript声明一个对象类时,这个对象类会继承一个父类。对象会自动继承其分配的原型的所有属性,除非它们已经具有具有相同键的属性。
__proto__是对象都有一个特殊属性,可用于访问其原型,可以使用中括号或点表示法进行访问。
我们创建一个字符串,通过__proto__可以访问到myObject的原型:String。
我们通过多次调用__proto__可以访问到myObject的原型链,可以看到,String的原型为Object,Object是所有对象的原型,所有对象继承Object的属性和方法
我们通过__proto__可以为原型添加属性和方法,如下,String添加了abc属性
新创建的字符串myString自动继承属性abc
而我们新创建的mylist不继承String,自然也没有abc属性
我们通过__proto__为Object添加cbd属性,因为Object是所有对象的父类,对象自然也继承了cbd。
现在我们可以来了解原型污染漏洞了。原型污染漏洞就是前端对用户传入的对象没有过滤,直接实例化用户传入的对象,导致用户可以通过污染原型,为对象带入新的属性或方法,从而造成XSS,算是DOM型XSS的一种。下面通过两个例子了解一下。
我们通过BURP带的DOM Invader检测到一处漏洞点,我们点进去看看
漏洞的代码段如下,通过deparam实例化我们传入的参数,然后判断是否存在config.transport_url属性,如果存在,则创建一个script脚本,来源为transport_url。
所以我们可以通过污染Object原型,添加transport_url属性,触发XSS漏洞
我们接下来看第二个例子,eval执行传入的语句,manager.sequence来源于URL的参数。
我们追踪下$.parseParams,我们可以利用化红线的方式污染__proto__,然后闭合eval里面的语句
如下: