• はてなブックマーク
  • テクノロジー
  • Node.jsにおけるプロトタイプ汚染攻撃とは何か - ぼちぼち日記
  • Twitterでシェア
  • Facebookでシェア

Node.jsにおけるプロトタイプ汚染攻撃とは何か - ぼちぼち日記

テクノロジー カテゴリーの変更を依頼 記事元:jovi0608.hatenablog.com
適切な情報に変更
494users がブックマーク コメント 44

    記事へのコメント44

    • 注目コメント
    • 新着コメント
    オーナーコメントを固定しています
    jovi0608
    オーナー 久々にNodeネタでブログを書きました。

    その他
    terurou
    安直なObjectのマージ、JSの文化だと割とやられちゃってるんよね。あと例がサーバーサイドだけど、PWAやらReactNativeやらでも同じことになるんよね。

    その他
    t-murachi
    Node.js に __proto__ 無効モードが欲しいくらい。いやね、アクセス制御のない言語仕様で特別な挙動をする共通の特殊メンバを持たせること事態が危険っちゃ危険なんだよね…(´・ω・`)

    その他
    field_combat
    なるほどねぇ

    その他
    mizchi
    攻撃というかJSってそういうもんじゃんって認識だった

    その他
    otchy210
    うっかり作り込みそうだなこれ…。オブジェクトのマージなんて日常じゃんか。Babel のプラグインでオブジェクトリテラルを全部 Map に変換するのが実用的には有効そうな気がする。

    その他
    ledsun
    言われてみれば、空のオブジェクトの__proto__を使うだけで、ルートオブジェクトにプロパティ生やせるの、長く生きて外部から任意の入力を受け取るサーバーアプリケーションには、すごい仕様だな。気がつかなかった

    その他
    wh11e7rue
    めっちゃおもしろい

    その他
    koba789
    "hasOwnProperty" を上書きするというアレもあるので、俺は Object.hasOwnProperty.call(obj, "key") してる

    その他
    オーナーコメントを固定しています
    jovi0608
    オーナー jovi0608 久々にNodeネタでブログを書きました。

    2018/10/19 リンク

    その他
    mag4n
    読んでいる

    その他
    tettekete37564
    JS って遠い昔からそういう言語だよね。各個人が前提ルールを書き換えられることは決して自由なことではない。

    その他
    rryu
    __proto__が仕様化されていたとは。Objectには特殊な意味を持つプロパティはないという状況が変わってしまったのか。

    その他
    katsyoshi
    こわぁ

    その他
    bluerabbit
    なるほど。マジか...

    その他
    ginpei
    __proto__を含むオブジェクトを雑にmergeするとObject.prototypeを操作してしまう問題。npm auditでライブラリーの脆弱性を確認。constructorは気にしないで良いの?

    その他
    igrep
    これはつらい

    その他
    teppeis
    外部から入力される文字列をkeyに入れちゃダメ

    その他
    zyzy
    JSONと緊密な関係なおかげで、Objectにそのまんまくっつけられてしまい、実際そうやって扱いがちな事の弊害、という側面の問題でもあるのか

    その他
    masterq
    やっぱJSはブラウザで走らせる言語なのでは。。。

    その他
    nilab
    Node.jsにおけるプロトタイプ汚染攻撃とは何か - ぼちぼち日記

    その他
    progrhyme
    なるほど。。これはうっかりやりそうで怖い

    その他
    ardarim
    Javascriptの自由さが仇になってる感じかな

    その他
    uehaj
    起動のある時点で__proto__をリードオンリーにするモードとかが必要なんじゃないかね。無効にするといろいろと機能しなくなるとして。

    その他
    t-murachi
    t-murachi Node.js に __proto__ 無効モードが欲しいくらい。いやね、アクセス制御のない言語仕様で特別な挙動をする共通の特殊メンバを持たせること事態が危険っちゃ危険なんだよね…(´・ω・`)

    2018/10/19 リンク

    その他
    tohta111a
    参考になりました

    その他
    xorphitus
    なるほど…。言われてみればそうだよねって思うけど、言われないとやらかすな

    その他
    otchy210
    otchy210 うっかり作り込みそうだなこれ…。オブジェクトのマージなんて日常じゃんか。Babel のプラグインでオブジェクトリテラルを全部 Map に変換するのが実用的には有効そうな気がする。

    2018/10/19 リンク

    その他
    koba789
    koba789 "hasOwnProperty" を上書きするというアレもあるので、俺は Object.hasOwnProperty.call(obj, "key") してる

    2018/10/19 リンク

    その他
    infobloga
    重要

    その他
    okumuraa1
    勉強させていただきますm(_ _)m

    その他
    komutan1
    JavaのStrutsでも似たような脆弱性あったな。リフレクション使って入力データをコピーしてたのでクラスローダを触られちゃうやつ。

    その他
    Futaro99
    hasOwnProperty が長くて書きたく無い問題

    その他
    coppieee
    一番の対策は脆弱性対応したライブラリにアップデートするでいいな

    その他
    rti7743
    外部から値を取るところはパラノイアと同じで警戒が必要。気をつけろ。誰も信頼するな。レーザーガンを手放すな!

    その他
    hasegawatomoki
    オゥ強烈。

    その他
    raimon49
    keyをチェックせずにmerge/cloneしていると任意の値がこっそり入ってしまう問題。緩和させる対策としてObject.freezeやMapの利用が挙げられている。

    その他
    Fohte
    面白いなー

    その他
    terurou
    terurou 安直なObjectのマージ、JSの文化だと割とやられちゃってるんよね。あと例がサーバーサイドだけど、PWAやらReactNativeやらでも同じことになるんよね。

    2018/10/19 リンク

    その他
    mumincacao
    PHP でも unserialize() で外部由来のでーた使うとおぶじぇくと埋め込めるなんてのあったなぁ・・・ (・x【みかん

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    Node.jsにおけるプロトタイプ汚染攻撃とは何か - ぼちぼち日記

    1. はじめに 最近わけあってNodeのセキュリティ調査をしているのですが、今年の5月に開催された North S...

    ブックマークしたユーザー

    • techtech05212023/05/29 techtech0521
    • thangnvbkhn2022/10/28 thangnvbkhn
    • seapig_dolphin2022/05/05 seapig_dolphin
    • miki_bene2022/01/14 miki_bene
    • Akaza2021/09/19 Akaza
    • ishideo2021/05/18 ishideo
    • bayashi_net2021/05/18 bayashi_net
    • shiba_yu362021/05/18 shiba_yu36
    • bizen2412021/05/13 bizen241
    • simics-ja2021/03/11 simics-ja
    • Krouton2021/02/10 Krouton
    • makotot-riceball2021/01/21 makotot-riceball
    • touch_web2020/12/22 touch_web
    • havanap2020/10/28 havanap
    • lm0x2020/08/12 lm0x
    • topporo2020/07/21 topporo
    • narukami8942020/07/16 narukami894
    • toshi-toma2020/03/24 toshi-toma
    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事

    いま人気の記事 - 企業メディア

    企業メディアをもっと読む

    はてなブックマーク

    公式Twitter

    はてなのサービス

    • App Storeからダウンロード
    • Google Playで手に入れよう
    Copyright © 2005-2025 Hatena. All Rights Reserved.