界: Input Validation and Representation
輸入驗證和表示法問題是由中繼字元、替代編碼和數值表示法引起的。信任輸入會導致安全問題。問題包括:「Buffer Overflows」、「Cross-Site Scripting」攻擊、「SQL Injection」及其他許多問題。
Prototype Pollution
Abstract
該應用程式允許使用者污染原型。
Explanation
Prototype Pollution 是一種允許惡意使用者覆寫物件原型的攻擊。
如要了解 Prototype Pollution,首先必須了解原型繼承。原型和原型鏈用作 JavaScript 中的屬性與函數查詢,從而提供繼承。當嘗試存取特定物件的屬性時,會檢查目前物件定義。如果目前物件沒有定義該屬性,則會檢查原型類別。原型會以遞迴方式檢查,直到找到該屬性,或沒有其他已設定的原型。
由於 JavaScript 中的大多數物件都預設具有一個指向
如果應用程式 (或其任何相依項) 仰賴的事實是屬性可以是
Prototype Pollution 可能會在以下情況發生:
1.資料從一個不可信賴的來源進入程式。
2.資料被傳遞至允許覆寫原型的 API。
範例 1:下列程式碼使用易受攻擊的
此時,如果不受信賴的輸入為
假設下列程式碼之後會存在於應用程式中。
即使
遺憾的是,由於原型已受污染,
如要了解 Prototype Pollution,首先必須了解原型繼承。原型和原型鏈用作 JavaScript 中的屬性與函數查詢,從而提供繼承。當嘗試存取特定物件的屬性時,會檢查目前物件定義。如果目前物件沒有定義該屬性,則會檢查原型類別。原型會以遞迴方式檢查,直到找到該屬性,或沒有其他已設定的原型。
由於 JavaScript 中的大多數物件都預設具有一個指向
Object.prototype 的原型,因此如果攻擊者可以覆寫物件的原型,通常就可以覆寫 Object.prototype 的定義,進而影響應用程式內的所有物件。如果應用程式 (或其任何相依項) 仰賴的事實是屬性可以是
undefined 而不是始終明確設定的屬性,那麼如果原型已受污染,應用程式就可能在無意間讀取原型而不是預期的物件。Prototype Pollution 可能會在以下情況發生:
1.資料從一個不可信賴的來源進入程式。
2.資料被傳遞至允許覆寫原型的 API。
範例 1:下列程式碼使用易受攻擊的
lodash 版本來污染物件的原型:
import * as lodash from 'lodash'
...
let clonedObject = lodash.merge({}, JSON.parse(untrustedInput));
...
此時,如果不受信賴的輸入為
{"__proto__": { "isAdmin": true}},則 Object.prototype 將擁有定義的 isAdmin = true。假設下列程式碼之後會存在於應用程式中。
...
let config = {}
if (isAuthorizedAsAdmin()){
config.isAdmin = true;
}
...
if (config.isAdmin) {
// do something as the admin
}
...
即使
isAdmin 僅應在 isAuthorizedAdmin() 傳回 true 時才設為 true,但因為應用程式未能在 else 條件中設定 config.isAdmin = false,所以還是會仰賴 config.isAdmin === undefined === false 的事實。遺憾的是,由於原型已受污染,
config 的原型現已設定 isAdmin === true,這會允許略過管理員授權。References
[1] Olivier Arteau Prototype pollution attack.
[2] Open Web Application Security Project (OWASP) Prototype Pollution Prevention Cheat Sheet
[3] Standards Mapping - Common Weakness Enumeration CWE ID 1321
[4] Standards Mapping - DISA Control Correlation Identifier Version 2 CCI-002754
[5] Standards Mapping - General Data Protection Regulation (GDPR) Indirect Access to Sensitive Data
[6] Standards Mapping - NIST Special Publication 800-53 Revision 4 SC-2 Application Partitioning (P1), SI-10 Information Input Validation (P1)
[7] Standards Mapping - NIST Special Publication 800-53 Revision 5 SC-2 Separation of System and User Functionality, SI-10 Information Input Validation
[8] Standards Mapping - OWASP API 2023 API3 Broken Object Property Level Authorization
[9] Standards Mapping - OWASP Application Security Verification Standard 4.0 1.5.2 Input and Output Architectural Requirements (L2 L3), 5.1.2 Input Validation Requirements (L1 L2 L3)
[10] Standards Mapping - OWASP Mobile 2024 M4 Insufficient Input/Output Validation
[11] Standards Mapping - OWASP Top 10 2017 A5 Broken Access Control
[12] Standards Mapping - OWASP Top 10 2021 A08 Software and Data Integrity Failures
[13] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2.1 Requirement 6.5.8
[14] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0 Requirement 6.2.4
[15] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0.1 Requirement 6.2.4
[16] Standards Mapping - Payment Card Industry Software Security Framework 1.0 Control Objective 5.4 - Authentication and Access Control
[17] Standards Mapping - Payment Card Industry Software Security Framework 1.2 Control Objective 5.4 - Authentication and Access Control
[18] Standards Mapping - Security Technical Implementation Guide Version 4.11 APSC-DV-002150 CAT II, APSC-DV-002560 CAT I
[19] Standards Mapping - Security Technical Implementation Guide Version 5.1 APSC-DV-002150 CAT II, APSC-DV-002560 CAT I
[20] Standards Mapping - Security Technical Implementation Guide Version 5.2 APSC-DV-002150 CAT II, APSC-DV-002560 CAT I
[21] Standards Mapping - Security Technical Implementation Guide Version 5.3 APSC-DV-002150 CAT II, APSC-DV-002530 CAT II, APSC-DV-002560 CAT I
[22] Standards Mapping - Security Technical Implementation Guide Version 6.1 APSC-DV-002150 CAT II, APSC-DV-002530 CAT II, APSC-DV-002560 CAT I
desc.dataflow.javascript.prototype_pollution