惊魂夜:一个JSON引发的血案
凌晨3点,程序员小李突然被警报惊醒——用户系统出现异常注册。监控显示,攻击者通过API上传了一个看似普通的JSON:
{
"name": "黑客",
"__proto__": {
"isAdmin": true
}
}
当这个JSON经过JSON.parse处理后,所有新创建的用户对象都获得了管理员权限。这就是原型污染攻击的经典案例,让我们揭开它的神秘面纱。
__proto__的魔法攻击
1. 危险的继承链
在JavaScript中,每个对象都有隐藏的__proto__属性,它就像基因链一样传递属性:
const child = { name: '小明' };
child.__proto__ === Object.prototype // true
// 当访问child.toString时
// 1. 查找child自身
// 2. 查找child.__proto__
// 3. 查找child.__proto__.__proto__
2. 污染实验
看这个致命的三行代码:
const maliciousJSON = '{"__proto__":{"isAdmin":true}}';
const obj = JSON.parse(maliciousJSON);
console.log({}.isAdmin); // true 🤯
通过修改__proto__属性,我们污染了整个原型链,所有普通对象都会继承这个危险属性!
安全对象创建方案
方案1:无污染沙箱
使用Object.create(null)创建纯净对象:
function safeParse(json) {
const temp = JSON.parse(json);
return Object.assign(Object.create(null), temp);
}
// 测试
const pureObj = safeParse('{"__proto__":123}');
console.log(pureObj.__proto__); // undefined ✅
方案2:属性白名单
使用Proxy代理防护:
const sanitize = (obj) => new Proxy(obj, {
set(target, key) {
if (key === '__proto__') throw new Error('禁止修改原型!');
return Reflect.set(...arguments);
}
});
const safeObj = sanitize(JSON.parse(maliciousJSON));
漏洞检测与防御
1. 检测工具
npm install --save-dev prototype-pollution-checker
2. 防御四重奏
// 1. 冻结原型
Object.freeze(Object.prototype);
// 2. 使用安全解析库
const safeJsonParse = require('secure-json-parse');
// 3. Schema校验
const schema = {
type: 'object',
properties: {
__proto__: { forbidden: true }
}
};
// 4. 使用Map替代Object
const map = new Map(Object.entries(jsonData));
安全无小事
就像不能随便吃陌生人给的糖果,处理JSON时也要保持警惕。记住以下安全口诀:
- 永远不要信任客户端数据
- 使用纯净对象沙箱
- 定期扫描依赖库
- 启用严格模式(‘use strict’)
下次当你准备使用JSON.parse时,不妨先问自己:这个数据真的"干净"吗?
🔥 关注我的公众号「哈希茶馆」一起交流更多开发技巧
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
