界: Input Validation and Representation
入力の検証や表現の問題は、メタキャラクター、代替エンコーディング、数値表現などによって引き起こされます。セキュリティの問題は、入力を信頼することに起因します。この問題に含まれるのは、「Buffer Overflow」、「Cross-Site Scripting」攻撃、「SQL Injection」などです。
Prototype Pollution
Abstract
このアプリケーションでは、ユーザーによるプロトタイプの汚染が可能です。
Explanation
プロトタイプ汚染は、悪意のあるユーザーにオブジェクトのプロトタイプの上書きを許可する攻撃です。
プロトタイプ汚染を理解するには、まずプロトタイプの継承を理解する必要があります。プロトタイプとプロトタイプ チェーンは、JavaScript のプロパティと関数のルックアップとして使用され、継承を実現します。特定のオブジェクトのプロパティにアクセスしようとすると、現在のオブジェクト定義がチェックされます。現在のオブジェクトがプロパティを定義していない場合は、プロトタイプ クラスがチェックされます。プロトタイプは、プロパティが見つかるか、設定されたプロトタイプが見つからなくなるまで再帰的にチェックされます。
デフォルトでは、JavaScript のほとんどのオブジェクトには
アプリケーション (またはその依存関係のいずれか) が、プロパティが常に明示的に設定されるのではなく
プロトタイプ汚染は次の場合に発生します。
1.信頼できないソースからデータがプログラムに入力された場合。
2.プロトタイプの上書きを許可する API にデータが渡された場合。
例 1: 次のコードは、脆弱なバージョンの
この時点で、信頼できない入力が
アプリケーションの後半にある次のコードを見てみます。
残念ながら、プロトタイプが汚染されているため、
プロトタイプ汚染を理解するには、まずプロトタイプの継承を理解する必要があります。プロトタイプとプロトタイプ チェーンは、JavaScript のプロパティと関数のルックアップとして使用され、継承を実現します。特定のオブジェクトのプロパティにアクセスしようとすると、現在のオブジェクト定義がチェックされます。現在のオブジェクトがプロパティを定義していない場合は、プロトタイプ クラスがチェックされます。プロトタイプは、プロパティが見つかるか、設定されたプロトタイプが見つからなくなるまで再帰的にチェックされます。
デフォルトでは、JavaScript のほとんどのオブジェクトには
Object.prototype を指すプロトタイプがあるため、オブジェクトのプロトタイプを上書きできる攻撃者は通常、Object.prototype の定義を上書きできてしまい、これによりアプリケーション内のすべてのオブジェクトが影響を受けます。アプリケーション (またはその依存関係のいずれか) が、プロパティが常に明示的に設定されるのではなく
undefined にできるという事実に依存する場合、プロトタイプが汚染されると、アプリケーションは意図したオブジェクトではなく、誤ってプロトタイプから読み取りを行う可能性があります。プロトタイプ汚染は次の場合に発生します。
1.信頼できないソースからデータがプログラムに入力された場合。
2.プロトタイプの上書きを許可する API にデータが渡された場合。
例 1: 次のコードは、脆弱なバージョンの
lodash を使用して、オブジェクトのプロトタイプを汚染します。
import * as lodash from 'lodash'
...
let clonedObject = lodash.merge({}, JSON.parse(untrustedInput));
...
この時点で、信頼できない入力が
{"__proto__": { "isAdmin": true}} の場合、Object.prototype は isAdmin = true に定義されます。アプリケーションの後半にある次のコードを見てみます。
...
let config = {}
if (isAuthorizedAsAdmin()){
config.isAdmin = true;
}
...
if (config.isAdmin) {
// do something as the admin
}
...
isAdmin は、isAuthorizedAdmin() が true を返す場合にのみ true に設定する必要がありますが、アプリケーションが else 条件に config.isAdmin = false を設定できないため、config.isAdmin === undefined === false という事実に依存します。残念ながら、プロトタイプが汚染されているため、
config のプロトタイプは isAdmin === true に設定され、これにより、管理者による承認をすり抜けることが可能になります。References
[1] Olivier Arteau Prototype pollution attack.
[2] Open Web Application Security Project (OWASP) Prototype Pollution Prevention Cheat Sheet
[3] Standards Mapping - Common Weakness Enumeration CWE ID 1321
[4] Standards Mapping - DISA Control Correlation Identifier Version 2 CCI-002754
[5] Standards Mapping - General Data Protection Regulation (GDPR) Indirect Access to Sensitive Data
[6] Standards Mapping - NIST Special Publication 800-53 Revision 4 SC-2 Application Partitioning (P1), SI-10 Information Input Validation (P1)
[7] Standards Mapping - NIST Special Publication 800-53 Revision 5 SC-2 Separation of System and User Functionality, SI-10 Information Input Validation
[8] Standards Mapping - OWASP API 2023 API3 Broken Object Property Level Authorization
[9] Standards Mapping - OWASP Application Security Verification Standard 4.0 1.5.2 Input and Output Architectural Requirements (L2 L3), 5.1.2 Input Validation Requirements (L1 L2 L3)
[10] Standards Mapping - OWASP Mobile 2024 M4 Insufficient Input/Output Validation
[11] Standards Mapping - OWASP Top 10 2017 A5 Broken Access Control
[12] Standards Mapping - OWASP Top 10 2021 A08 Software and Data Integrity Failures
[13] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2.1 Requirement 6.5.8
[14] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0 Requirement 6.2.4
[15] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0.1 Requirement 6.2.4
[16] Standards Mapping - Payment Card Industry Software Security Framework 1.0 Control Objective 5.4 - Authentication and Access Control
[17] Standards Mapping - Payment Card Industry Software Security Framework 1.2 Control Objective 5.4 - Authentication and Access Control
[18] Standards Mapping - Security Technical Implementation Guide Version 4.11 APSC-DV-002150 CAT II, APSC-DV-002560 CAT I
[19] Standards Mapping - Security Technical Implementation Guide Version 5.1 APSC-DV-002150 CAT II, APSC-DV-002560 CAT I
[20] Standards Mapping - Security Technical Implementation Guide Version 5.2 APSC-DV-002150 CAT II, APSC-DV-002560 CAT I
[21] Standards Mapping - Security Technical Implementation Guide Version 5.3 APSC-DV-002150 CAT II, APSC-DV-002530 CAT II, APSC-DV-002560 CAT I
[22] Standards Mapping - Security Technical Implementation Guide Version 6.1 APSC-DV-002150 CAT II, APSC-DV-002530 CAT II, APSC-DV-002560 CAT I
desc.dataflow.javascript.prototype_pollution