?? 一段簡(jiǎn)單的 JSON 解析代碼���,可能是一次嚴(yán)重的原型污染�、提權(quán)繞過(guò)��、服務(wù)癱瘓的開始。本文深入解析 JSON.parse() 的安全風(fēng)險(xiǎn)�、攻擊方式,并講解如何在黑盒測(cè)試中通過(guò)數(shù)據(jù)包行為反推出后臺(tái)邏輯���,為你打開攻防對(duì)抗中的新視角����。
?? 1. JSON.parse 是什么?它本身安全嗎�����?
JSON.parse() 是 JavaScript 原生函數(shù)��,用于將字符串解析為 JavaScript 對(duì)象:
const obj = JSON.parse('{"user":"admin"}');
? 它本身不會(huì)執(zhí)行代碼����、不會(huì)像 Java 反序列化一樣觸發(fā)遠(yuǎn)程類加載或代碼執(zhí)行。
??但它存在安全隱患的傳播點(diǎn)�����,關(guān)鍵在于:你如何使用解析后的對(duì)象���!
?? 2. 典型安全風(fēng)險(xiǎn)與利用場(chǎng)景
? 風(fēng)險(xiǎn)一:原型鏈污染(Prototype Pollution)
關(guān)鍵字段如 __proto__ / constructor / prototype 被寫入對(duì)象中��,通過(guò)合并操作傳播到所有對(duì)象����。
?? 利用前提:
- 后端用
Object.assign�、lodash.merge 等合并用戶傳參與默認(rèn)配置����。 - 沒(méi)有進(jìn)行關(guān)鍵字段過(guò)濾。
?? 典型 payload:
{
"__proto__": {
"admin": true
}
}
?? 后果示例:
const config = Object.assign({}, defaultConfig, JSON.parse(userInput));
// 之后任何 new Object() 都可能帶上 admin: true
?? 常見數(shù)據(jù)包格式
POST /api/profile HTTP/1.1
Host: target.example.com
Content-Type: application/json
Content-Length: 70
{
"__proto__": {
"isAdmin": true
}
}
? Burp 分析方法:
| 步驟 | 觀察點(diǎn) |
|---|
| 1. 請(qǐng)求發(fā)出 | 目標(biāo)接口是否處理 JSON 格式數(shù)據(jù) |
| 2. 重復(fù)訪問(wèn)其他接口 | 是否行為改變(權(quán)限 / 響應(yīng)內(nèi)容) |
| 3. Proxy + Repeater | 逐步調(diào)整 payload�,如 ["__proto__"] |
| 4. 添加測(cè)試斷點(diǎn) | 使用 Logger++ 插件記錄響應(yīng)中的 isAdmin 等字段是否被反映 |
如果行為生效,將獲得Admin權(quán)限����,頁(yè)面菜單等權(quán)限將有明顯改變
? 風(fēng)險(xiǎn)二:拒絕服務(wù)攻擊(Billion Laughs / Deep Nesting DoS)
{
"a":{"a":{"a":{"a":{"a":{"a":{"a":{"a":{"a":{"a":{}}}}}}}}}}
}
- 重復(fù)嵌套結(jié)構(gòu)觸發(fā) CPU 暴漲或內(nèi)存崩潰。
- 常用于前期探測(cè)����、WAF 繞過(guò)測(cè)試���。
? 風(fēng)險(xiǎn)三:DOM-Based XSS(前端使用不當(dāng))
如果前端用 innerHTML 或 document.write 直接渲染 JSON 解析的字段:
const data = JSON.parse(payload);
document.body.innerHTML = data.content;
攻擊者構(gòu)造:
{"content": "<img src=x onerror=alert(1)>"}
?? 3. 數(shù)據(jù)包特征分析
我們?nèi)绾?*在黑盒測(cè)試中識(shí)別系統(tǒng)內(nèi)部使用了 JSON.parse()**�����?以下是典型思路:
?? 特征:API 接收 JSON 格式 body
POST /api/config HTTP/1.1
Content-Type: application/json
{"username":"admin"}
?? 判斷方式分析:
| |
|---|
| 是 → 可能直接 JSON.parse 解析并用于配置邏輯 |
修改特殊鍵如 __proto__ 有無(wú)響應(yīng)變化����? | 有 → 極有可能未進(jìn)行關(guān)鍵字段過(guò)濾 |
| 是否響應(yīng)體中出現(xiàn)原樣字段回顯? | |
| 是否異常響應(yīng)(500 / timeout)����? | |
??? 組合測(cè)試
- 提交
constructor.prototype.polluted = true → 檢查全局污染跡象 - 利用
["__proto__"] 數(shù)組索引寫入�,繞過(guò)某些黑名單
?? 4. 防御建議
| |
|---|
| 禁止解析中出現(xiàn) __proto__�、constructor 等關(guān)鍵字段 |
| 避免使用 Object.assign���,推薦 structuredClone() 或安全庫(kù) |
| 使用庫(kù)如 json-parse-better-errors�����、ajv 等做層級(jí)與結(jié)構(gòu)校驗(yàn) |
| 對(duì) JSON payload 關(guān)鍵字(如 "__proto__")做識(shí)別和阻斷 |
| 后端合并配置時(shí)應(yīng)隔離用戶與系統(tǒng)配置空間�,避免全局污染 |
? 總結(jié)
| |
|---|
| JSON.parse本身安全 |
| 使用方式不安全:合并配置、渲染 HTML�����、未校驗(yàn)字段 |
| 看輸入格式、嵌套特征�����、行為響應(yīng)變化 |
| 利用字段污染 → 影響權(quán)限邏輯 / 全局變量 / DoS |
| 嚴(yán)格輸入控制 + 合理合并方式 + 安全庫(kù)使用
|
閱讀原文:原文鏈接
該文章在 2025/4/24 9:23:14 編輯過(guò)
400 186 1886
