jQuery和lodash导致原型污染的安全问题_lodash other vulnerability

jQuery

jquery3.4.0（3.4.0及以后版本已修复）之前版本中extend函数会导致原型污染。

let a = $.extend(true, {}, JSON.parse('{"__proto__": {"devMode": true}}'))
console.log({}.devMode); // jquery3.4.0版本前会输出true
1
2

解决方法：在遍历对象时，当遇见 __proto__ 敏感属性，则退出程序。

lodash

lodash 版本4.7.12（4.7.12及以后版本已修复）之前defaultsDeep函数会污染原型。

const payload = '{"constructor": {"prototype": {"lodash": true}}}'
_.defaultsDeep({}, JSON.parse(payload))
console.log({}.lodash); // lodash4.7.12版本前会输出true
1
2
3

解决方法：在遍历 merge 时，当遇见 constructor 以及 __proto__ 敏感属性，则退出程序。

总结

如果你还在使用jQuery3.4.0之前版本或者lodash4.7.12之前版本，建议升级至版本 jQuery 3.4.0及以上、lodash4.7.12及以上，否则你的应用程序和网站仍有可能遭受攻击。

避免原型污染有以下几种方法：

1. 冻结 Object.prototype，使原型不能扩充属性
   Object.freeze() 方法可以冻结一个对象。一个被冻结的对象再也不能被修改；冻结了一个对象则不能向这个对象添加新的属性，不能删除已有属性，不能修改该对象已有属性的可枚举性、可配置性、可写性，以及不能修改已有属性的值。此外，冻结一个对象后该对象的原型也不能被修改。freeze() 返回和传入的参数相同的对象。

   Object.freeze(Object.prototype);
   1

2. 使用无原型对象Object.create(null)

3. 建立一个名单专门用来存储敏感属性，遇到时过滤它

4. 使用一些第三方工具来检验代码的安全性，比如Snyk、JFrog Xray

还有一个感悟就是引入的第三方库不一定是安全的，那么要如何保证第三方库的安全性呢？

1. 尽量用大公司出名的库，并及时更新已有的库的版本
2. 使用工具来监测代码的安全性，比如Snyk、JFrog Xray
3. 直接通过 iframe 隔离代码
4. 实现对第三方代码的隔离
5. 全局写一些方法防止代码受到污染
6. 如果你是大神也可以自己查看库源码

参考链接

jQuery prototype pollution vulnerability
jQuery 修复原型污染 PR

Snyk research team discovers severe prototype pollution security vulnerabilities affecting all versions of lodash
Lodash 严重安全漏洞背后 你不得不知道的 JavaScript 知识