原型污染漏洞分析

在说原型污染漏洞之前，我们先说一下什么是原型。

JavaScript 中的每个对象都链接到某种对象，称为其原型。默认情况下，JavaScript 会自动为新对象分配一个内置的全局原型。按我的理解，可以把原型理解为父类，JavaScript声明一个对象类时，这个对象类会继承一个父类。对象会自动继承其分配的原型的所有属性，除非它们已经具有具有相同键的属性。

__proto__是对象都有一个特殊属性，可用于访问其原型，可以使用中括号或点表示法进行访问。
我们创建一个字符串，通过__proto__可以访问到myObject的原型：String。
我们通过多次调用__proto__可以访问到myObject的原型链，可以看到，String的原型为Object，Object是所有对象的原型，所有对象继承Object的属性和方法

我们通过__proto__可以为原型添加属性和方法，如下，String添加了abc属性

新创建的字符串myString自动继承属性abc
而我们新创建的mylist不继承String，自然也没有abc属性

我们通过__proto__为Object添加cbd属性，因为Object是所有对象的父类，对象自然也继承了cbd。

现在我们可以来了解原型污染漏洞了。原型污染漏洞就是前端对用户传入的对象没有过滤，直接实例化用户传入的对象，导致用户可以通过污染原型，为对象带入新的属性或方法，从而造成XSS，算是DOM型XSS的一种。下面通过两个例子了解一下。

我们通过BURP带的DOM Invader检测到一处漏洞点，我们点进去看看

漏洞的代码段如下，通过deparam实例化我们传入的参数，然后判断是否存在config.transport_url属性，如果存在，则创建一个script脚本，来源为transport_url。

所以我们可以通过污染Object原型，添加transport_url属性，触发XSS漏洞

我们接下来看第二个例子，eval执行传入的语句，manager.sequence来源于URL的参数。

我们追踪下$.parseParams，我们可以利用化红线的方式污染__proto__，然后闭合eval里面的语句

如下：