服务器端原型污染：无需导致DoS的黑盒检测技术

本文深入探讨服务器端原型污染漏洞的黑盒检测技术，提出多种非破坏性检测方法，并发布开源Burp Suite扩展工具。文章涵盖漏洞原理、高危库分析、检测技巧及防御方案，配套Web安全学院实验环境。

服务器端原型污染：无需导致DoS的黑盒检测

核心问题

服务器端原型污染检测面临根本性挑战：传统的检测方式会通过修改全局原型（如Object.prototype）导致服务不可用（DoS），且这种修改在Node进程生命周期内持续生效。

漏洞原理

当JavaScript库递归合并对象时未对键名进行消毒，攻击者通过控制__proto__属性可修改全局原型。典型案例包括：

Lodash的merge()方法
JSON.parse()对__proto__的特殊处理
原型链继承机制（如Object.prototype.c被所有对象继承）

高危影响

应用配置篡改
远程代码执行（RCE）
Kibana和Blitz框架中的历史案例

创新检测技术

非破坏性手动检测

参数限制探测
通过污染Express的parameterLimit选项控制查询参数数量上限
内容类型注入
篡改content-type使JSON响应以UTF-7编码渲染
CORS头暴露
利用exposedHeaders属性反射自定义HTTP头

自动化检测方法

JSON空格注入
通过json spaces选项修改JSON响应缩进
状态码操纵
污染status属性触发非常规状态码(如510)

OAST检测
通过DNS交互验证漏洞存在：

1
2
3
4
5


{
  "__proto__": {
    "NODE_OPTIONS": "--inspect=id\"\".oastify\"\".com"
  }
}

防御方案

安全API
使用Map/Set替代普通对象
原型隔离
Object.create(null)创建无原型对象
运行时防护
Node启动参数--disable-proto=delete

研究工具

开源Burp Suite扩展
Web安全学院实验环境
Node调试技巧（--inspect-brk参数）

本文技术已通过真实案例验证，相关技术细节可参考配套的Web安全学院实验。通过非破坏性检测方法，安全人员现在可以安全可靠地识别服务器端原型污染漏洞。

comments powered by Disqus