Node.js原型链污染
认识原型链:
function Test(){
this.name = 'zqc'
this.say = function(){
console.log('学习')
}
var obj3 = new Test()
var obj4 = new Test()
}上述代码中,obj3,obj4都是Test的实例对象,Test是obj3和obj4的构造函数。实例都有一个构造函数属性(constructor)指向构造函数,通过构造函数创建的对象拥有构造函数内部定义的属性和方法
在js中,每一个对象都有一个特殊的属性叫做原型(prototype),它指向另一个对象,这个对象叫做原型对象,原型对象是用来共享属性和方法的。1,原型对象有一个constructor属性指向构造函数本身(Test),原型对象包含属性和方法。原型对象的属性和方法会被继承到所有通过原型链于它相连的对象
function Test(name, age){
this.name = name
this.age = age
}
Test.prototype.say = function(){
console.log('我能说话')
}
var obj3 = new Test('Jack', 26)
var obj4 = new Test('Rose', 25)
obj3.say() // 我能说话
obj4.say() // 我能说话
隐式原型__proto__
1.__proro__,在js中每个对象都有一个隐藏的__proto__属性,它指向创建它的构造函数的原型对象(Test.prototype)
2.__proto__存在的意义在于为原型链查找提供方向,原型链查找靠的是__proto__,而不是prototype
原型链
每一个js对象都有一个隐藏的原型对象属性__proto__,那Test.prototype也是js中的对象,那它的__proto__是什么呢?
1.Test.prototyped的隐式原型就是Object.prototype
2.所有的对象,包括构造函数的原型对象,最终都继承自Object.prototype,这是js原型链的顶点
同样的,Object.prototype也存在__proto__,Object.prototype 是原型链的末端,它的原型是 null,是所有对象原型链的最终节点。因此,它不再有自己的原型,所以Object.prototype.__proto__指向null
Object.prototype 是原型链的终点,因为它不再有其他原型。null 是原型链的终止条件,表示查找结束。
在js中,每一个对象都有一个特殊的属性叫做原型(prototype),它指向另一个对象,这个对象叫做原型对象,原型对象是用来共享属性和方法的
对象有一个属性(__proto__)指向构造函数的原型对象
普通对象和函数对象:
在javascript中,只有函数对象才具有prototype属性
function Person(name) {
this.name = name;
}
// 在 Person 的 prototype 上定义方法
Person.prototype.sayHello = function () {
return `Hello, my name is ${this.name}`;
};
const person1 = new Person("Alice");
const person2 = new Person("Bob");
console.log(person1.sayHello()); // "Hello, my name is Alice"
console.log(person2.sayHello()); // "Hello, my name is Bob"
console.log(person1.__proto__ === Person.prototype); // true
console.log(person2.__proto__ === Person.prototype); // truePerson是一个函数对象,它有一个prototype属性
Person.prototype是一个对象,所有通过new Person()创建的实例的原型都指向Person.prototype
这使得所有实例可以共享Person.prototype上的属性和方法
相反,普通对象没有prototype这个属性
原型链的继承
所有类对象在实例化的时候将会拥有prototype的属性和方法,这个特性被用来实现js中的继承机制
function Father(){
this.first_name = 'LeBron';
this.last_name = 'james';
}
function Son(){
this.first_name = 'Bronny';
}
Son.ptototypre=new Father();
let son= new Son();
console.log('Name:${son.first_name}${son.last_name}')主要流程:
在对象son中寻找last_name
无法找出,则在son.__proto__中寻找last_name
如果仍然无法找到,则继续在son.__proto__.__proto__中寻找last_name
依次寻找,直到null结束。如:object.prototype的__proto__就是null
原型链污染:
原型链污染利用了javaScript的原型链机制,通过恶意修改对象的原型(__proto__或[[Protortpe]])从而影响依赖这些原型属性或方法的代码逻辑。这种漏洞可能发生在任何使用 JavaScript 的环境中,包括浏览器和 Node.js。
原理:
在 JavaScript 中,对象的原型链用于实现继承和共享属性。如果攻击者能够通过某种方式修改对象的原型(通常是 Object.prototype),那么所有继承自该原型的对象都会受到影响
常见的污染方式:
不安全地处理用户输入:如果代码允许用户输入动态地修改对象的属性,攻击者可能会利用这一点注入恶意属性。
使用 Object.assign() 或类似方法时未正确处理目标对象:如果目标对象是 Object.prototype 或其他共享原型,可能会导致全局污染
例如:
const uesrInput = {__proto__:{isAdmin:ture}};
Object.assign({},userInput);用户提供的输入是userInput,它有一个__proto__属性,该属性的值是一个包含isAdmin:ture的对象
Object.assign方法会将所有可枚举的自有属性从原对象复制到目标对象,这里的原对象是userInput,目标对象是空对象{},