Express Prototype Pollution Gadgets
Serve XSS responses
Per ulteriori dettagli dai un'occhiata alla ricerca originale
Cambia il tipo di contenuto JSON in HTML
In un'app Express che utilizza una risposta di tipo contenuto JSON e riflette un JSON:
In questi casi, l'XSS non è normalmente possibile con un tipo di contenuto JSON. Tuttavia, con la contaminazione del prototipo possiamo confondere Express per restituire una risposta HTML. Questa vulnerabilità si basa sull'applicazione che utilizza res.send(obj)
e utilizza il body parser con il tipo di contenuto application/json.
By inquinando le proprietà body
e _body
, è possibile causare a Express di servire il tipo di contenuto HTML e riflettere la proprietà _body
, risultando in XSS memorizzato.
Render UTF7
È possibile far sì che express renderizzi contenuti UTF-7 con:
Tecniche di Scansione Sicure
Spazi JSON
Il seguente PP farà sì che gli attributi all'interno di un JSON abbiano uno spazio extra che non interromperà la funzionalità:
Poi un JSON riflesso apparirà così:
Exposed Headers
Il seguente gadget PP farà sì che il server restituisca l'intestazione HTTP: Access-Control-Expose_headers: foo
Richiede che il modulo CORS sia installato
Metodo OPTIONS
Con il seguente payload, è possibile nascondere un metodo da una risposta OPTIONS:
Stato
È possibile modificare il codice di stato restituito utilizzando il seguente payload PP:
Errore
Quando assegni a un prototipo con un primitivo come una stringa, produce un operazione no-op poiché il prototipo deve essere un oggetto. Se tenti di assegnare un oggetto prototipo a Object.prototype
stesso, questo solleverà un'eccezione. Possiamo utilizzare questi due comportamenti per verificare se la contaminazione del prototipo è avvenuta con successo:
Valore Riflesso
Quando un'applicazione include un oggetto nella sua risposta, creare un attributo con un nome insolito insieme a __proto__
può essere rivelatore. In particolare, se solo l'attributo insolito viene restituito nella risposta, questo potrebbe indicare la vulnerabilità dell'applicazione:
Inoltre, in scenari in cui viene utilizzata una libreria come Lodash, impostare una proprietà sia tramite inquinamento del prototipo (PP) che direttamente all'interno dell'oggetto offre un altro approccio diagnostico. Se tale proprietà è omessa dalla risposta, suggerisce che Lodash sta verificando l'esistenza della proprietà nell'oggetto target prima di unire:
Misc
Allow Dots
C'è un'opzione in Express che ti consente di creare oggetti dai parametri della query string. Potresti sicuramente usarla in una catena di bug per sfruttare una vulnerabilità di inquinamento del prototipo.
?foo.bar=baz
crea un oggetto in Node.
Riferimenti
Last updated