原型链污染

字数统计: 845字   |   阅读时长≈ 3分

原型链污染

0x01 原型prototype

​ 在js中我们所创建的每一个函数,解析器都会向函数中添加一个属性prototype ,这个属性对应着一个对象,这个对象就是我们所谓的原型对象。如果函数作为普通函数调用prototype没有任何作用。原型对象就相当于一个公共的区域,所有同一个类的实例都可以访问到这个原型对象,我们可以将对象中公有的内容统一设置到原型对象中,当我们访问对象的一个属性或方法时,它会先在自身中寻找,如果有则直接使用,如果没有则会去原型对象中寻找,如果找到则直接使用。

Untitled

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
function MyClass(){
}
//向MyClass的原型中添加属性a
MyClass.prototype.a = 123;

//向MyClass的原型中添加一个方法
MyClass.prototype.sayHello = function(){
	alert("Hello");
}

var mc = new MyClass();
var mc2 = new MyClass();
//console.log(mc.__proto__ == MyClass.prototype);
//向mc中添加属性a
mc.a =  "我是mc中的a";
console.log(mc.a);
console.log(mc2.a);
1
2
3
4
5
6
7
8
function Foo() {
    this.bar = 1
    this.show = function() {
        console.log(this.bar)
    }
}

(new Foo()).show()

但这样写有一个问题,就是每当我们新建一个Foo对象时,this.show = function...就会执行一次,这个show方法实际上是绑定在对象上的,而不是绑定在“类”中。

我希望在创建类的时候只创建一次show方法,这时候就则需要使用原型(prototype)了:

1
2
3
4
5
6
7
8
9
10
function Foo() {
    this.bar = 1
}

Foo.prototype.show = function show() {
    console.log(this.bar)
}

let foo = new Foo()
foo.show()

image-20210410172622709

可以看到b并没有a属性,但是通过原型污染,使b的可以访问到a属性

0x02 JavaScript原型链继承

所有类对象在实例化的时候将会拥有prototype中的属性和方法,这个特性被用来实现JavaScript中的继承机制。

1
2
3
4
5
6
7
8
9
10
11
12
13
function Father() {
    this.first_name = 'Dany'
    this.last_name = 'Tom'
}

function Son() {
    this.first_name = 'Kimi'
}

Son.prototype = new Father()

let son = new Son()
console.log(`Name: ${son.first_name} ${son.last_name}`)

Son类继承了Father类的last_name属性,最后输出:Name:Kimi Tom

  1. 在对象Son中寻找last_name
  2. 找不到,继续在Son.__proto__中寻找last_name
  3. 如果仍找不到,则继续在Son.__proto__.__proto__中寻找last_name
  4. 依次寻找,直到找到null结束,Object.prototype__proto__就是null

image-20210410194330826

0x03 原型链污染

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
// foo是一个简单的JavaScript对象
let foo = {bar: 1}

// foo.bar 此时为1
console.log(foo.bar)

// 修改foo的原型(即Object)
foo.__proto__.bar = 2

// 由于查找顺序的原因,foo.bar仍然是1
console.log(foo.bar)

// 此时再用Object创建一个空的zoo对象
let zoo = {}

// 查看zoo.bar
console.log(zoo.bar)

最后,虽然zoo是一个对象{},但zoo.bar的结果居然是2:

image-20210410194707739

原因也显而易见:因为前面我们修改了foo的原型foo.__proto__.bar = 2,而foo是一个Object类的实例,所以实际上是修改了Object这个类,给这个类增加了一个属性bar,值为2。

后来,我们又用Object类创建了一个zoo对象let zoo = {},zoo对象自然也有一个bar属性了。

那么,在一个应用中,如果攻击者控制并修改了一个对象的原型,那么将可以影响所有和这个对象来自同一个类、父祖类的对象。这种攻击方式就是原型链污染

谢谢你请我吃糖果

支付宝
微信

扫一扫,分享到微信

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia-plus根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

主要涉及技术:
Java后端开发、网络安全、
服务器配置、JAVA安全的学习、Linux

联系QQ:1170516014

一个19级计科专业的小菜鸡