摘要:以實(shí)現(xiàn)沙箱加載外部代碼為例此處直接退出進(jìn)程��,下面的代碼都不會(huì)執(zhí)行此段代碼中��,通過外部的構(gòu)造器使得生成的函數(shù)能夠訪問到外部的上下文��,拿到對(duì)象�����,直接把進(jìn)程退出了���。
在某些特別的場(chǎng)景下����,我們需要編譯執(zhí)行外部輸入的JS代碼。在瀏覽器端�,我們可以借助new Function 、eval等API��。而在 node 端�����,我們可以借助vm模塊實(shí)現(xiàn)一個(gè)沙箱�,運(yùn)行外部輸入的JS 代碼���。但無論是瀏覽器端�����,還是node端�,這些操作都有安全隱患��。
外部輸入的JS代碼可以利用JS語言的特性���,從而破壞主程序的環(huán)境����。
目前,筆者了解到主要有兩種方式攻擊主程序
方式一:通過 new Function ��、 eval 在創(chuàng)建時(shí)�,能獲取到全局變量的特性,對(duì)主程序的環(huán)境進(jìn)行破壞���。
以 vm 實(shí)現(xiàn)沙箱加載外部代碼為例:
const vm = require("vm");
const script = new vm.Script(`
var foo = (new Function("return process"))();
foo.exit()
`)
const context = vm.createContext({
Function: Function
})
script.runInContext(context) // 此處直接退出進(jìn)程�����,下面的代碼都不會(huì)執(zhí)行
console.log("process is exited ?")
此段代碼中��,通過外部的Function構(gòu)造器, 使得生成的函數(shù)能夠訪問到外部的上下文�,拿到process對(duì)象�,直接把進(jìn)程退出了。
實(shí)際上�,我們不傳遞Function給沙箱的話,沙箱內(nèi)部的代碼同樣可以通過JS的原型鏈的機(jī)制�,拿到外部的Function構(gòu)造器:
const vm = require("vm");
const script = new vm.Script(`
var foo = (new this.constructor.constructor("return process"))();
foo.exit()
`)
const context = vm.createContext() // 此處不把外部的Function傳遞進(jìn)去
script.runInContext(context) // 此處直接退出進(jìn)程,下面的代碼都不會(huì)執(zhí)行
console.log("process is exited ?")
上面的沙箱里面的代碼����,可以通過訪問沙箱內(nèi)部的上下文this的contructor屬性拿到外部的Object構(gòu)造器�,再通過Object的contructor屬性直接拿到外部的Function構(gòu)造器�����。
方式二:通過原型鏈方法劫持�����、污染
同樣以 vm 實(shí)現(xiàn)沙箱加載外部代碼為例:
const vm = require("vm");
const script = new vm.Script(`
this.constructor.prototype.toString = function() {
console.log("hehe")
}
`)
const context = vm.createContext({
console: console
})
script.runInContext(context)
let a = { name: 1 }
console.log(a, a.toString())
內(nèi)部沙箱代碼通過獲取外部的Object構(gòu)造器�,改寫原型上的toString方法��,達(dá)到原型鏈方法破壞的目的�����。
總結(jié)
由于JS某些神奇的語言特性��,直接編譯執(zhí)行外部輸入的JS代碼�,是一件很危險(xiǎn)的操作。說到底�,想要解決某些問題,必須先了解根源���。
文章版權(quán)歸作者所有�����,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為�����,您可以聯(lián)系管理員刪除�����。
轉(zhuǎn)載請(qǐng)注明本文地址:http://www.ezyhdfw.cn/yun/106470.html
