其他分享
首页 > 其他分享> > JS原型链污染

JS原型链污染

作者:互联网

JS原型链污染

参考

JavaScript原型链污染原理及相关CVE漏洞剖析

什么是原型

JavaScript 常被描述为一种基于原型的语言 (prototype-based language)——每个对象拥有一个原型对象(prototype),对象以其原型为模板,从原型继承方法和属性。原型对象也可能拥有原型,并从中继承方法和属性,一层一层、以此类推。这种关系常被称为原型链 (prototype chain)。

例如下面这段代码:

var a = 1
console.log(a.__proto__)
console.log(a.__proto__.__proto__)
console.log(a.__proto__.__proto__.__proto__)


通过object.__proto__即可查看对象的原型,直到原型为 null(null 作为原型链中的最后一环,其没有原型)。
原型中一条重要的机制就是继承,对象可以继承原型的属性及方法
通过执行以下代码,即可给原型添加属性、方法

a.__proto__.name = "1ndex"
a.__proto__.alert = function(){console.log(this.name)}

a.__proto__.__proto__.age = 18

然后 a 即可继承原型的属性、方法:

a.name

a.alert()

a.age


通过修改原型的属性、方法,可以影响到其他以同一原型构造的对象

b = 1
b.name


当程序代码导致攻击者可以设置对象的__proto__属性时,也就造成了原型链污染

常见case示例

function merge(target, source){
	for(let key in source){
        if (key in source && key in target) {
            merge(target[key], source[key])
        } else {
            target[key] = source[key]
        }
    }
}



let o1 = {}
let o2 = JSON.parse('{"a": 1, "__proto__": {"b": 2}}')
merge(o1, o2)
console.log(o1.a, o1.b)//1,2
 
o3 = {}
console.log(o3.b)

至于此处为什么需要使用JSON.parse,是因为以let o2 = {"a":1,"__proto__":{"b":2}}实际生成了__proto__{"b":2}的对象 o2,而在 for 循环中,并不会循环该属性,只有通过JSON.parse处理字符串得到的对象才能使用 for 循环得到__proto__

标签:__,.__,console,proto,JS,污染,原型,key
来源: https://www.cnblogs.com/wjrblogs/p/16462308.html