Lou*_*her 1 javascript security node.js
我查看了eslint-plugin-security中的一条规则,发现用户输入理论上可能会导致远程代码执行错误。
const a = class {};
console.log(a['constructor']);
a['constructor']('console.log(1)')();
function b() {}
console.log(b['constructor']);
b['constructor']('console.log(2)')();
const c = {}
console.log(c['constructor'])
console.log(c['constructor']('console.log(3)')());从代码片段中很容易看出类和函数的构造函数似乎解析字符串并将它们评估为有效代码。由于某种原因,对象不会表现出这种行为。
为什么会允许这种情况发生?JavaScript 的哪些功能需要函数/类构造函数的这种行为?我假设它是 JavaScript 工作方式不可或缺的一部分,否则我不明白为什么它没有从语言中删除。
问题是.constructor类的 是Function,并且使用字符串调用 Function 构造函数会从该字符串创建一个函数,然后调用该函数会导致执行该字符串的代码:
const a = class {};
console.dir(a['constructor'] === Function);
a['constructor']('console.log(1)')();这实际上与
Function('console.log(1)')();只是一个类的 constructor 属性恰好指向同一个东西。
如果您两次导航到该.constructor属性(第一次访问Object构造函数,第二次访问Function构造函数),则对象可以表现出相同的属性:
const a = {};
console.dir(a['constructor'].constructor === Function);
a['constructor'].constructor('console.log(1)')();如果您允许任意访问任何对象的属性,并且还允许使用任意参数调用这些属性,则几乎可以执行任何操作。原型链(和.constructor)属性很有用,但像许多东西一样,它们可能会被滥用。
| 归档时间: |
|
| 查看次数: |
128 次 |
| 最近记录: |