Express Prototype Pollution Gadgets
Serve XSS responses
Для отримання додаткової інформації перегляньте оригінальне дослідження
Change JSON content-type to HTML
В додатку Express, що використовує JSON content type response і відображає JSON:
У цих випадках XSS зазвичай не можливий з типом вмісту JSON. Однак, з забрудненням прототипу ми можемо заплутати Express, щоб він повертав HTML-відповідь. Ця вразливість залежить від використання додатком res.send(obj)
та використання парсера тіла з типом вмісту application/json.
Шляхом забруднення body
та _body
властивостей, можливо змусити Express віддавати HTML тип контенту та відображати властивість _body
, що призводить до збереженого XSS.
Відображення UTF7
Можливо змусити express відображати UTF-7 контент з:
Безпечні техніки сканування
JSON пробіли
Наступний PP додасть атрибутам всередині JSON додатковий пробіл, що не зламає функціональність:
Тоді відображений JSON виглядатиме так:
Exposed Headers
Наступний PP гаджет змусить сервер надіслати HTTP заголовок: Access-Control-Expose_headers: foo
Це вимагає, щоб модуль CORS був встановлений
Метод OPTIONS
З наступним payload можливо сховати метод з відповіді OPTIONS:
Статус
Можливо змінити код статусу, що повертається, використовуючи наступний PP payload:
Помилка
Коли ви призначаєте прототипу примітив, наприклад, рядок, це призводить до операції без дії, оскільки прототип має бути об'єктом. Якщо ви намагаєтеся призначити об'єкт прототипу самому Object.prototype
, це викине виключення. Ми можемо використовувати ці дві поведінки, щоб виявити, чи була успішною забрудненість прототипу:
Відображене значення
Коли додаток включає об'єкт у свою відповідь, створення атрибута з незвичайною назвою поряд з __proto__
може бути корисним. Зокрема, якщо лише незвичайний атрибут повертається у відповіді, це може вказувати на вразливість додатку:
Крім того, у сценаріях, де використовується бібліотека, така як Lodash, встановлення властивості як через забруднення прототипу (PP), так і безпосередньо в об'єкті пропонує ще один діагностичний підхід. Якщо така властивість відсутня у відповіді, це свідчить про те, що Lodash перевіряє наявність властивості в цільовому об'єкті перед злиттям:
Misc
Дозволити крапки
Є опція в Express, яка дозволяє вам створювати об'єкти з параметрів рядка запиту. Ви безумовно можете використовувати це в ланцюжку помилок для експлуатації вразливості забруднення прототипу.
?foo.bar=baz
створює об'єкт у Node.
Посилання
Last updated