Express Prototype Pollution Gadgets
Servir respuestas XSS
Para más detalles echa un vistazo a la investigación original
Cambiar el tipo de contenido JSON a HTML
En una aplicación Express que utiliza una respuesta de tipo de contenido JSON y refleja un JSON:
En estos casos, XSS normalmente no es posible con un tipo de contenido JSON. Sin embargo, con la contaminación de prototipos podemos confundir a Express para que sirva una respuesta HTML. Esta vulnerabilidad se basa en que la aplicación utiliza res.send(obj)
y usa el analizador de cuerpo con el tipo de contenido application/json.
Al contaminar las propiedades body
y _body
, es posible hacer que Express sirva el tipo de contenido HTML y refleje la propiedad _body
, lo que resulta en XSS almacenado.
Renderizar UTF7
Es posible hacer que express renderice contenido UTF-7 con:
Técnicas de Escaneo Seguras
Espacios JSON
El siguiente PP hará que los atributos dentro de un JSON tengan un espacio extra que no romperá la funcionalidad:
Entonces un JSON reflejado se verá así:
Exposed Headers
El siguiente gadget de PP hará que el servidor envíe de vuelta el encabezado HTTP: Access-Control-Expose_headers: foo
Requiere que el módulo CORS esté instalado
Método OPTIONS
Con la siguiente carga útil, es posible ocultar un método de una respuesta OPTIONS:
Estado
Es posible cambiar el código de estado devuelto utilizando la siguiente carga útil de PP:
Error
Cuando asignas a un prototipo con un primitivo como una cadena, produce una operación no-op ya que el prototipo tiene que ser un objeto. Si intentas asignar un objeto prototipo al Object.prototype
en sí, esto lanzará una excepción. Podemos usar estos dos comportamientos para detectar si la contaminación del prototipo fue exitosa:
Valor Reflejado
Cuando una aplicación incluye un objeto en su respuesta, crear un atributo con un nombre inusual junto a __proto__
puede ser revelador. Específicamente, si solo se devuelve el atributo inusual en la respuesta, esto podría indicar la vulnerabilidad de la aplicación:
Además, en escenarios donde se emplea una biblioteca como Lodash, establecer una propiedad tanto a través de la contaminación del prototipo (PP) como directamente dentro del objeto ofrece otro enfoque de diagnóstico. Si tal propiedad se omite de la respuesta, sugiere que Lodash está verificando la existencia de la propiedad en el objeto objetivo antes de fusionar:
Misceláneo
Permitir Puntos
Hay una opción en Express que te permite crear objetos a partir de parámetros de la cadena de consulta. Definitivamente podrías usarlo en una cadena de errores para explotar una vulnerabilidad de contaminación de prototipos.
?foo.bar=baz
crea un objeto en Node.
Referencias
Last updated