JS原型链污染

JS原型链污染

参考

JavaScript原型链污染原理及相关CVE漏洞剖析

什么是原型

JavaScript 常被描述为一种基于原型的语言 (prototype-based language)——每个对象拥有一个原型对象(prototype)，对象以其原型为模板，从原型继承方法和属性。原型对象也可能拥有原型，并从中继承方法和属性，一层一层、以此类推。这种关系常被称为原型链 (prototype chain)。

例如下面这段代码:

var a = 1
console.log(a.__proto__)
console.log(a.__proto__.__proto__)
console.log(a.__proto__.__proto__.__proto__)

通过object.__proto__即可查看对象的原型，直到原型为 null(null 作为原型链中的最后一环，其没有原型)。
原型中一条重要的机制就是继承，对象可以继承原型的属性及方法
通过执行以下代码，即可给原型添加属性、方法

a.__proto__.name = "1ndex"
a.__proto__.alert = function(){console.log(this.name)}

a.__proto__.__proto__.age = 18

然后 a 即可继承原型的属性、方法：

a.name

a.alert()

a.age

通过修改原型的属性、方法，可以影响到其他以同一原型构造的对象

b = 1
b.name

当程序代码导致攻击者可以设置对象的__proto__属性时，也就造成了原型链污染

常见case示例

function merge(target, source){
	for(let key in source){
        if (key in source && key in target) {
            merge(target[key], source[key])
        } else {
            target[key] = source[key]
        }
    }
}



let o1 = {}
let o2 = JSON.parse('{"a": 1, "__proto__": {"b": 2}}')
merge(o1, o2)
console.log(o1.a, o1.b)//1,2
 
o3 = {}
console.log(o3.b)

至于此处为什么需要使用JSON.parse，是因为以let o2 = {"a":1,"__proto__":{"b":2}}实际生成了__proto__为{"b":2}的对象 o2，而在 for 循环中，并不会循环该属性，只有通过JSON.parse处理字符串得到的对象才能使用 for 循环得到__proto__