Lodash原型污染漏洞深度解析：原理、复现与防御实践

📅 2026/6/29 0:10:44 👁️ 次浏览

1. 项目概述从一次“诡异”的代码行为说起几年前我在审查一个前端项目的安全报告时遇到一个非常奇怪的现象。一个用于处理用户配置的简单函数在某些特定输入下竟然会“污染”整个应用的状态导致其他毫不相关的功能模块出现异常。经过层层排查最终定位到问题根源我们项目中广泛使用的工具库Lodash的一个特定版本存在一个被称为“原型污染”的安全漏洞。这个漏洞的隐蔽性极高它不像SQL注入或XSS那样有明显的攻击特征而是像一种“基因污染”悄无声息地改变JavaScript运行环境的根基——Object.prototype。一旦被利用攻击者可能通过一个看似无害的API调用就能篡改所有对象的默认行为进而可能导致拒绝服务、权限绕过甚至远程代码执行。今天我们就来彻底拆解这个经典的Lodash原型污染漏洞CVE-2018-3721, CVE-2019-10744等不仅讲清楚它的原理更会手把手带你复现、理解其危害并掌握在项目中有效防御的方法。无论你是前端开发者、安全工程师还是对Web安全感兴趣的爱好者理解这个漏洞都将让你对JavaScript语言的底层机制和现代Web应用的安全风险有更深的认识。2. 原型污染漏洞的核心原理剖析要理解Lodash的原型污染我们必须先回到JavaScript语言的核心概念之一原型链。这不仅是漏洞的成因也是理解其危害性的关键。2.1 JavaScript原型链与继承机制在JavaScript中几乎所有对象都有一个内部属性[[Prototype]]可通过__proto__或Object.getPrototypeOf()访问。当你尝试访问一个对象的属性时如果该对象自身没有这个属性JavaScript引擎就会沿着它的[[Prototype]]指向的对象去查找如果还没有就继续向上查找直到找到Object.prototype或属性为null为止。这条查找路径就是“原型链”。例如我们创建一个空对象let obj {};。obj.toString这个方法并不存在于obj自身但当我们调用obj.toString()时引擎会沿着obj - Object.prototype这条链找到Object.prototype.toString并执行。这种机制是实现继承的基础。Object.prototype位于所有通过对象字面量{}或new Object()创建的对象的原型链顶端。这意味着如果Object.prototype被修改那么所有继承了它的普通对象都会受到影响。这就是原型污染能够造成广泛影响的根本原因。2.2 污染是如何发生的以_.merge函数为例Lodash提供了大量便捷的实用函数其中_.merge是一个非常常用的深度合并对象的方法。它的本意是将多个源对象的属性递归地合并到目标对象中。问题就出在这个“递归合并”的逻辑上。在存在漏洞的Lodash版本例如lodash 4.17.11中_.merge函数的实现对于属性键key的检查不够严格。我们来看一段问题代码的简化逻辑// 模拟有漏洞的 merge 函数简化逻辑 function merge(target, source) { for (const key in source) { if (source.hasOwnProperty(key)) { if (isObject(source[key]) isObject(target[key])) { // 递归合并 merge(target[key], source[key]); } else { // 直接赋值 target[key] source[key]; } } } return target; } // 辅助函数简单判断是否为对象 function isObject(value) { return value ! null typeof value object; }关键点在于for (const key in source)这个循环。它遍历的是对象source的所有可枚举属性包括那些从原型链继承来的属性虽然下一行有source.hasOwnProperty(key)进行过滤只处理对象自身的属性但这里存在一个被忽略的路径。攻击者可以构造一个特殊的对象其某个属性键恰好是__proto__、constructor或prototype。在JavaScript中__proto__是一个特殊的访问器属性它指向对象的原型。当isObject(source[key])判断source[__proto__]时它返回true因为__proto__本身是一个对象。然后函数会尝试递归进入target[__proto__]也就是target的原型对象。如果target是一个普通对象{}那么target[__proto__]就是Object.prototype。于是递归调用就变成了merge(Object.prototype, source[__proto__])。此时source[__proto__]这个对象内部的所有属性都会被合并到Object.prototype上从而污染了所有对象的原型。注意现代JavaScript引擎中__proto__作为一个直接属性被遍历的情况已经较少且Lodash后续修复也主要针对此路径。但通过constructor.prototype这条路径依然可能在某些场景下生效原理类似都是通过操纵原型链的引用达到污染目的。2.3 漏洞利用链从污染到攻击仅仅污染原型还不够必须将其转化为实际的攻击效果。攻击者通常会利用污染向Object.prototype注入恶意属性或函数影响应用逻辑。常见的利用方式有影响逻辑判断许多代码会使用if (obj.isAdmin)进行权限检查。如果攻击者通过原型污染给Object.prototype添加了一个isAdmin: true的属性那么所有未显式定义isAdmin属性的对象在判断时都会继承这个true值可能导致权限绕过。篡改内置方法污染Object.prototype.toString或valueOf方法可能导致其他依赖这些方法进行序列化、比较或显示的库如模板引擎、日志工具行为异常甚至触发进一步的漏洞。导致拒绝服务(DoS)向原型添加一个巨大的数组或复杂的getter函数当这个属性被频繁访问或序列化时会严重消耗CPU和内存拖垮应用。作为跳板触发其他漏洞这是更危险的场景。例如一个模板引擎如Pug/Jade在渲染时会从数据对象中查找方法。如果攻击者污染了Object.prototype注入一个包含恶意代码的函数属性当模板引擎调用这个函数时就可能执行任意代码。3. 漏洞复现手把手搭建攻击环境理解了原理我们通过一个具体的场景来复现这个漏洞。请注意以下操作请在完全隔离的测试环境如本地虚拟机或沙箱容器中进行。3.1 环境准备与有漏洞的Lodash安装首先我们创建一个干净的测试目录并安装存在已知原型污染漏洞的Lodash版本。CVE-2019-10744影响lodash 4.17.12我们就用4.17.10作为例子。mkdir lodash-cve-demo cd lodash-cve-demo npm init -y npm install lodash4.17.10创建一个简单的Node.js测试文件poc.js// poc.js const _ require(lodash); console.log([初始状态] Object.prototype.polluted ${Object.prototype.polluted}); // 构造恶意载荷 const maliciousPayload JSON.parse({__proto__: {polluted: yes}}); // 或者另一种常见构造 // const maliciousPayload { constructor: { prototype: { polluted: yes } } }; const normalObject {}; console.log([合并前] normalObject.polluted ${normalObject.polluted}); // 使用有漏洞的 _.merge 函数 _.merge({}, maliciousPayload); console.log([合并后] normalObject.polluted ${normalObject.polluted}); console.log([验证] Object.prototype.polluted ${Object.prototype.polluted});3.2 执行复现与结果分析运行这个脚本node poc.js在Lodash 4.17.10环境下你可能会看到类似如下的输出[初始状态] Object.prototype.polluted undefined [合并前] normalObject.polluted undefined [合并后] normalObject.polluted yes [验证] Object.prototype.polluted yes结果解读初始时Object.prototype和normalObject都没有polluted属性。我们创建了一个新的普通对象normalObject。执行_.merge({}, maliciousPayload)。这里的目标对象是一个空对象{}源对象是我们构造的恶意载荷。漏洞被触发Object.prototype被添加了polluted属性其值为yes。由于原型链继承新创建的normalObject在访问.polluted属性时会向上查找到被污染过的Object.prototype从而返回yes。这就成功复现了原型污染。一个看似只是合并两个对象的操作却永久性地改变了整个运行环境的原型对象。实操心得在实际漏洞挖掘中载荷构造可能需要多次尝试。JSON.parse解析__proto__在某些环境下可能不会将其作为键名而是直接作用于当前对象。因此有时需要通过其他方式构造对象或者利用constructor.prototype这条路径。复现时关注函数是否能递归操作到原型对象是关键。4. 受影响的Lodash函数与版本排查原型污染漏洞并非只存在于_.merge一个函数。在Lodash的历史版本中多个进行深度操作或赋值的函数都被发现存在类似问题。了解这些函数有助于你在代码审计时快速定位风险点。4.1 已知存在原型污染漏洞的函数列表下表整理了Lodash中曾被发现存在原型污染漏洞的主要函数及其影响的CVE编号函数名主要用途相关CVE受影响版本大致范围风险操作_.merge深度合并对象CVE-2018-3721, CVE-2019-10744 4.17.11递归赋值时未过滤__proto__等特殊属性_.mergeWith可自定义合并逻辑的深度合并CVE-2019-10744 4.17.12同_.merge在自定义逻辑中也可能触发_.defaultsDeep深度分配来源对象的自身和继承的可枚举属性到目标对象CVE-2019-10744 4.17.12递归分配默认值时可能污染原型_.set设置对象路径上的值CVE-2019-10744 4.17.12当路径字符串包含__proto__等关键词时_.setWith可自定义设置逻辑的_.setCVE-2019-10744 4.17.12同_.set_.zipObjectDeep接受属性路径数组来创建对象CVE-2020-8203 4.17.19从路径数组创建对象时未过滤原型键4.2 如何检查你的项目是否受影响对于正在维护的项目快速排查风险至关重要。你可以通过以下步骤进行自查检查package.json查看项目中lodash或lodash.func的版本号。如果主版本低于4.17.12则存在高风险。使用npm audit在项目根目录运行npm audit命令。它会自动分析依赖树报告已知的安全漏洞包括Lodash的原型污染问题并给出修复建议。代码搜索在项目代码中全局搜索上述高风险函数名如_.merge、_.defaultsDeep、_.set特别是那些处理用户可控输入如HTTP请求参数、URL查询字符串、文件上传的元数据、WebSocket消息的地方。这些是潜在的漏洞触发点。使用安全扫描工具集成像Snyk、GitHub Dependabot或WhiteSource这样的工具到你的CI/CD流程中它们可以自动监测依赖库的新漏洞并发出警报。5. 漏洞的深度利用与真实攻击场景模拟原型污染本身可能不直接导致严重的后果但它是一个强大的“跳板”。攻击者会将其与其他漏洞或应用特性结合形成完整的攻击链。我们模拟两个经典的结合场景。5.1 场景一污染原型模板引擎远程代码执行(RCE)假设一个Node.js后端应用使用存在漏洞的Lodash版本处理用户配置同时使用Pug模板引擎渲染页面。后端有问题的代码片段// server.js (存在漏洞的版本) const _ require(lodash); const express require(express); const app express(); app.use(express.json()); app.post(/update-config, (req, res) { // 用户可控的配置数据 const userConfig req.body.config; const defaultConfig { theme: light }; // 使用有漏洞的 _.defaultsDeep const finalConfig _.defaultsDeep({}, userConfig, defaultConfig); // ... 保存配置 req.session.config finalConfig; res.send(Config updated); }); app.get(/profile, (req, res) { // 从session读取配置并传递给模板 const userConfig req.session.config || {}; // 使用Pug渲染模板中可能直接输出配置 res.render(profile, { config: userConfig }); });攻击步骤攻击者向/update-config发送一个POST请求Body中包含恶意构造的JSON{ config: { __proto__: { block: { type: Text, line: process.mainModule.require(child_process).execSync(touch /tmp/hacked) } } } }漏洞触发Object.prototype.block被注入一个特定结构的对象。在某些Pug模板的渲染逻辑中如果遇到block这个特殊属性可能会将其内容作为代码处理。当攻击者或其他用户访问/profile页面时Pug引擎在渲染过程中从被污染的原型链上读取到了恶意的block定义并执行了其中嵌入的命令touch /tmp/hacked从而实现了远程命令执行。注意事项这种利用方式高度依赖于模板引擎的具体实现、版本及其安全配置。并非所有Pug版本都会因此执行代码但这是安全研究中已证实过的攻击向量。它揭示了原型污染如何将风险从数据层传递到代码执行层。5.2 场景二污染原型客户端代码前端XSS原型污染同样可以发生在浏览器端。如果前端代码引入了有漏洞的Lodash版本并用于处理从URL或API返回的、用户可控的数据就可能引发客户端原型污染。前端有问题的代码// 前端使用 lodash 处理 API 响应 import _ from lodash; async function fetchUserData(userId) { const response await fetch(/api/user/${userId}); const data await response.json(); // 假设后端返回的数据结构深不可测我们想扁平化或合并它 const processedData _.merge({}, data, someDefaultSettings); renderUserProfile(processedData); }攻击步骤攻击者构造一个恶意用户ID或者通过其他方式如修改API请求参数使后端返回一个包含恶意__proto__属性的JSON响应。前端代码在调用_.merge时触发漏洞污染了浏览器页面全局的Object.prototype。页面上其他JavaScript代码可能依赖于某些对象属性的默认值如undefined进行逻辑判断。例如一个权限检查if (!obj.isVIP) { showAds(); }。如果Object.prototype.isVIP被污染为true则广告将不会显示破坏了业务逻辑。更严重的是如果页面上有基于innerHTML或document.write且其内容来自对象属性的动态渲染被污染的原型属性可能注入恶意HTML/JS代码导致DOM型XSS。客户端污染验证脚本!DOCTYPE html html head script srchttps://cdn.jsdelivr.net/npm/lodash4.17.10/lodash.min.js/script /head body script console.log(污染前:, {}.polluted); // 假设从不可信的API获得了这个数据 const badData JSON.parse({__proto__: {polluted: 前端被黑了}}); _.merge({}, badData); console.log(污染后:, {}.polluted); // 输出: 前端被黑了 alert(污染测试: ${({}).polluted}); /script /body /html6. 修复方案与安全开发实践知道了漏洞的危害我们该如何修复和预防方案分为“治标”和“治本”。6.1 立即修复升级与补丁最直接有效的方法是升级Lodash到安全版本。对于Lodash 4.17.12请立即升级到4.17.12或更高版本。这个版本及之后Lodash核心团队在_.merge、_.defaultsDeep等函数中加入了严格的键名过滤防止__proto__、constructor、prototype等特殊属性被递归操作。检查子依赖很多时候Lodash是作为其他大型框架或库的间接依赖子依赖被引入的。运行npm list lodash或yarn why lodash来查看所有依赖路径。即使你的项目直接依赖的是安全版本一个子依赖可能还在使用老版本。你需要督促那个子依赖的维护者升级或者使用npm的resolutions字段Yarn或overrides字段npm强制锁定整个项目的Lodash版本。在package.json中强制指定版本Yarn:{ resolutions: { lodash: 4.17.21 } }在package.json中强制指定版本npm v8:{ overrides: { lodash: 4.17.21 } }6.2 代码层防御输入验证与安全函数升级库是首选但在无法立即升级或需要深度防御时可以在代码层面采取以下措施严格的输入验证与净化对所有用户输入包括URL参数、POST body、HTTP头、文件内容进行严格的验证和净化。使用如validator.js这样的库进行验证。对于对象在传递给_.merge等函数前递归地过滤掉键名为__proto__、constructor、prototype的属性。function sanitizeObject(obj) { const forbiddenKeys [__proto__, constructor, prototype]; return JSON.parse(JSON.stringify(obj, (key, value) { if (forbiddenKeys.includes(key)) { return undefined; // 过滤掉危险键 } return value; })); } // 使用前先净化 const safeUserInput sanitizeObject(req.body); _.merge(target, safeUserInput);注意JSON.stringify/parse法虽然简单但会丢失函数、正则表达式等特殊对象类型。对于复杂对象需要实现更精细的遍历过滤函数。使用Object.create(null)创建纯净对象如果你需要一个完全纯净、不继承自Object.prototype的对象作为递归操作的目标可以使用Object.create(null)。这样即使发生污染也只影响这个“孤岛”对象本身不会波及全局。const safeTarget Object.create(null); _.merge(safeTarget, potentiallyDirtySource); // 此时 safeTarget 的原型是 null污染无法扩散使用替代的安全库考虑使用明确声明了安全考量、并经过安全审计的替代库例如lodash-esES模块版本通常更新更及时、或者功能更专注的小型库。6.3 安全开发意识与最佳实践最小化使用深度操作反思是否真的需要_.merge或_.defaultsDeep这样的深度合并。很多时候浅合并Object.assign或扩展运算符{...obj1, ...obj2}已经足够且更安全。冻结原型对象在极端敏感的环境下可以考虑使用Object.freeze()冻结Object.prototype防止其被修改。但这是一种非常激进的做法可能会破坏某些依赖原型扩展的第三方库。Object.freeze(Object.prototype); // 此后尝试污染将会静默失败严格模式下报错持续依赖管理将安全更新作为开发流程的一部分。定期运行npm audit/yarn audit并集成依赖漏洞扫描到CI/CD管道确保新引入的漏洞能被及时发现。安全代码审查在代码审查中将对用户输入进行深度对象操作的代码列为重点审查对象。检查是否使用了存在风险的Lodash函数以及输入是否经过充分验证。7. 从原型污染看前端安全的未来挑战Lodash原型污染漏洞的发现和修复是前端乃至整个JavaScript生态安全演进的一个缩影。它提醒我们几个关键点1. 供应链安全的极端重要性一个被数百万项目依赖的基础工具库出现漏洞其影响是灾难性的、呈指数级扩散的。作为开发者我们不仅是库的使用者也应是其安全的监督者。积极关注依赖库的安全公告参与开源社区报告问题是每个人的责任。2. 语言特性即双刃剑JavaScript灵活的原型链机制带来了强大的表达力也引入了独特的安全风险。类似的eval()、Function构造函数、with语句等都因安全问题被谨慎使用或废弃。理解这些特性的安全边界是编写稳健代码的前提。3. 漏洞的复合性现代Web应用漏洞很少孤立存在。如同我们看到的原型污染服务器端或客户端可能作为初始入口与模板注入、XSS、命令执行等漏洞串联形成杀伤链。防御时需要建立纵深防御体系每一层输入验证、数据处理、输出编码、沙箱隔离都不能缺失。4. 自动化检测的兴起面对复杂的漏洞交互纯靠人工审计越来越力不从心。静态应用安全测试SAST、动态应用安全测试DAST以及交互式应用安全测试IAST工具正在更多地被集成到开发流程中用于自动检测原型污染、不安全的合并操作等漏洞模式。我个人在经历了多次类似的安全事件后养成了一个习惯在处理任何来自外部的、非受信的数据时尤其是那些将要进行深度递归操作的数据心中都会拉响警报。我会问自己几个问题这个数据的来源绝对可信吗这个库函数在处理边界情况特别是__proto__、constructor时是否安全有没有更简单、更安全的方式实现同样的功能这种“安全第一”的思维方式或许比记住某个具体的修复方案更为重要。

相关新闻