一文看懂 JSON.parse 背后的安全隐患与黑盒利用方法
🔍 一段简单的 JSON 解析代码,可能是一次严重的原型污染、提权绕过、服务瘫痪的开始。本文深入解析
JSON.parse()
的安全风险、攻击方式,并讲解如何在黑盒测试中通过数据包行为反推出后台逻辑,为你打开攻防对抗中的新视角。
📌 1. JSON.parse 是什么?它本身安全吗?
JSON.parse()
是 JavaScript 原生函数,用于将字符串解析为 JavaScript 对象:
const obj = JSON.parse('{"user":"admin"}');
✅ 它本身不会执行代码、不会像 Java 反序列化一样触发远程类加载或代码执行。
❗️但它存在安全隐患的传播点,关键在于:你如何使用解析后的对象!
🔥 2. 典型安全风险与利用场景
✅ 风险一:原型链污染(Prototype Pollution)
关键字段如
__proto__
/constructor
/prototype
被写入对象中,通过合并操作传播到所有对象。
🧪 利用前提:
-
后端用 Object.assign
、lodash.merge
等合并用户传参与默认配置。 -
没有进行关键字段过滤。
📦 典型 payload:
{"__proto__": {"admin": true }}
💥 后果示例:
const config = Object.assign({}, defaultConfig, JSON.parse(userInput));// 之后任何 new Object() 都可能带上 admin: true
📦 常见数据包格式
POST /api/profile HTTP/1.1Host: target.example.comContent-Type: application/jsonContent-Length: 70{ "__proto__": { "isAdmin": true }}
✅ Burp 分析方法:
步骤 | 观察点 |
---|---|
1. 请求发出 | 目标接口是否处理 JSON 格式数据 |
2. 重复访问其他接口 | 是否行为改变(权限 / 响应内容) |
3. Proxy + Repeater | 逐步调整 payload,如 ["__proto__"] |
4. 添加测试断点 | 使用 Logger++ 插件记录响应中的 isAdmin 等字段是否被反映 |
如果行为生效,将获得Admin权限,页面菜单等权限将有明显改变
✅ 风险二:拒绝服务攻击(Billion Laughs / Deep Nesting DoS)
{"a":{"a":{"a":{"a":{"a":{"a":{"a":{"a":{"a":{"a":{}}}}}}}}}}}
-
重复嵌套结构触发 CPU 暴涨或内存崩溃。 -
常用于前期探测、WAF 绕过测试。
✅ 风险三:DOM-Based XSS(前端使用不当)
如果前端用 innerHTML
或 document.write
直接渲染 JSON 解析的字段:
const data = JSON.parse(payload);document.body.innerHTML = data.content;
攻击者构造:
{"content": "<img src=x onerror=alert(1)>"}
🧠 3. 数据包特征分析
我们如何**在黑盒测试中识别系统内部使用了 JSON.parse()
**?以下是典型思路:
🧩 特征:API 接收 JSON 格式 body
POST /api/config HTTP/1.1Content-Type: application/json{"username":"admin"}
📍 判断方式分析:
|
|
---|---|
|
|
__proto__ 有无响应变化? |
|
|
|
|
|
🛠️ 组合测试
-
提交 __proto__
→ 检查是否持久化 -
提交 constructor.prototype.polluted = true
→ 检查全局污染迹象 -
利用 ["__proto__"]
数组索引写入,绕过某些黑名单 -
使用深嵌套 JSON → 检测解析限制
🧯 4. 防御建议
|
|
---|---|
|
__proto__ 、constructor 等关键字段 |
|
Object.assign ,推荐 structuredClone() 或安全库 |
|
json-parse-better-errors 、ajv 等做层级与结构校验 |
|
"__proto__" )做识别和阻断 |
|
|
✅ 总结
|
|
---|---|
|
JSON.parse本身安全 |
|
|
|
|
|
|
|
|
原文始发于微信公众号(季升安全):一文看懂 JSON.parse 背后的安全隐患与黑盒利用方法
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论