js原型链污染

JavaScript 是一门非常灵活的语言，与 PHP 相比起来更加灵活。除了传统的 SQL 注入、代码执行等注入型漏洞外，也会有一些独有的安全问题，比如今天要说这个原型链污染。本篇文章就让我们来学习一下 NodeJS 原型链与原型链污染的原理。

什么是原型链（Prototype Chain）？

在 JavaScript 里，对象是可以继承其他对象的属性和方法的，这种继承就是通过“原型（prototype）”实现的

每个对象都有一个隐藏属性 [[Prototype]]（可以通过 __proto__ 访问），它指向另一个对象，这个被指向的对象就是“原型对象——prototype“。

这些原型对象也可以有自己的原型——__proto__，层层向上直到一个对象的原型对象为null，于是就形成了一个“链条”结构~这条链子就叫做 原型链（Prototype Chain）

举个栗子喵：

let obj = {
  name: "ALe"
};

console.log(obj.toString()); // 虽然没写这个方法，但可以调用！

// 因为 obj -> Object.prototype -> 原型链上找到了 toString 方法

💡 这里的过程是这样的：

obj
  ↓
Object.prototype
  ↓
null（原型链的尽头）

一个更形象的例子：

function Cat() {}
Cat.prototype.sayHi = function () {
  console.log("喵~");
};

let migu = new Cat();
migu.sayHi(); // 喵~

migu 自己没有 sayHi 方法，但它可以通过原型链从 Cat.prototype 那里找到并使用它！

原型链长什么样喵？

migu --> Cat.prototype --> Object.prototype --> null

a.__proto__ 是与 A.prototype 等价的，而 A.prototype.__proto__ 是指向 Object.prototype 的，再往下 Object.prototype.__proto__ 指向 null，这就是 JavaScript 中的原型继承链，所有类对象在实例化的时候将会拥有 prototype 中的属性和方法，这个特性被用来实现 JavaScript 中的继承机制。

我们可以通过以下方式访问得到某一实例对象的原型对象：

objectname.[[prototype]]
objectname.prototype
objectname["__proto__"]
objectname.__proto__
objectname.constructor.prototype

JavaScript 对象是动态的属性“包”（指其自己的属性）。JavaScript 对象有一个指向一个原型对象的链。当试图访问一个对象的属性时，它不仅仅在该对象上搜寻，还会搜寻该对象的原型，以及该对象的原型的原型，依次层层向上搜索，直到找到一个名字匹配的属性或到达原型链的末尾。

https://xz.aliyun.com/news/9482关于原型链更复杂的东西可以在这里面学

什么是原型链污染？

在 JavaScript 里，每个对象都会通过 __proto__（或者 Object.prototype）连接到它的原型链上。当我们访问一个对象的属性时，如果这个属性不存在，就会沿着原型链去找。

原型链污染 就是指攻击者可以通过修改对象的原型链（Object.prototype），给所有对象添加恶意属性或方法。这可能会影响整个应用程序的行为，甚至造成严重的安全漏洞

在JavaScript发展历史上，很少有真正的私有属性，类的所有属性都允许被公开的访问和修改，包括proto，构造函数和原型。攻击者可以通过注入其他值来覆盖或污染这些proto，构造函数和原型属性。然后，所有继承了被污染原型的对象都会受到影响。原型链污染通常会导致dos攻击、篡改程序执行流程、RCE等漏洞。
原型链污染的发生主要有两种场景：不安全的对象递归合并和按路径定义属性。

举个简单例子喵：

let obj = {};
console.log(obj.hack); // und