摘要:以實現(xiàn)沙箱加載外部代碼為例此處直接退出進程,下面的代碼都不會執(zhí)行此段代碼中�����,通過外部的構(gòu)造器使得生成的函數(shù)能夠訪問到外部的上下文����,拿到對象,直接把進程退出了���。
在某些特別的場景下����,我們需要編譯執(zhí)行外部輸入的JS代碼��。在瀏覽器端�����,我們可以借助new Function ���、eval等API�。而在 node 端�,我們可以借助vm模塊實現(xiàn)一個沙箱,運行外部輸入的JS 代碼���。但無論是瀏覽器端�,還是node端�,這些操作都有安全隱患。
外部輸入的JS代碼可以利用JS語言的特性�����,從而破壞主程序的環(huán)境�。
目前,筆者了解到主要有兩種方式攻擊主程序
方式一:通過 new Function ����、 eval 在創(chuàng)建時���,能獲取到全局變量的特性,對主程序的環(huán)境進行破壞����。
以 vm 實現(xiàn)沙箱加載外部代碼為例:
const vm = require("vm");
const script = new vm.Script(`
var foo = (new Function("return process"))();
foo.exit()
`)
const context = vm.createContext({
Function: Function
})
script.runInContext(context) // 此處直接退出進程,下面的代碼都不會執(zhí)行
console.log("process is exited ?")
此段代碼中����,通過外部的Function構(gòu)造器, 使得生成的函數(shù)能夠訪問到外部的上下文,拿到process對象��,直接把進程退出了�。
實際上,我們不傳遞Function給沙箱的話�����,沙箱內(nèi)部的代碼同樣可以通過JS的原型鏈的機制����,拿到外部的Function構(gòu)造器:
const vm = require("vm");
const script = new vm.Script(`
var foo = (new this.constructor.constructor("return process"))();
foo.exit()
`)
const context = vm.createContext() // 此處不把外部的Function傳遞進去
script.runInContext(context) // 此處直接退出進程,下面的代碼都不會執(zhí)行
console.log("process is exited ?")
上面的沙箱里面的代碼�,可以通過訪問沙箱內(nèi)部的上下文this的contructor屬性拿到外部的Object構(gòu)造器,再通過Object的contructor屬性直接拿到外部的Function構(gòu)造器����。
方式二:通過原型鏈方法劫持、污染
同樣以 vm 實現(xiàn)沙箱加載外部代碼為例:
const vm = require("vm");
const script = new vm.Script(`
this.constructor.prototype.toString = function() {
console.log("hehe")
}
`)
const context = vm.createContext({
console: console
})
script.runInContext(context)
let a = { name: 1 }
console.log(a, a.toString())
內(nèi)部沙箱代碼通過獲取外部的Object構(gòu)造器�,改寫原型上的toString方法,達到原型鏈方法破壞的目的����。
總結(jié)
由于JS某些神奇的語言特性,直接編譯執(zhí)行外部輸入的JS代碼�,是一件很危險的操作。說到底���,想要解決某些問題�,必須先了解根源���。
文章版權(quán)歸作者所有����,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為��,您可以聯(lián)系管理員刪除���。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/106470.html
