JavaScript에서 프로토타입 오염 공격을 방지하는 단계

王林
풀어 주다: 2024-07-19 14:43:50
원래의
1222명이 탐색했습니다.

Steps to Preventing Prototype Pollution Attacks in JavaScript

웹 보안의 세계에서 프로토타입 오염은 제대로 해결되지 않을 경우 심각한 결과를 초래할 수 있는 미묘하면서도 잠재적으로 파괴적인 취약성입니다. 이번 블로그에서는 프로토타입 오염이 무엇인지, 어떻게 발생하는지, 그리고 가장 중요하게는 이를 방지하는 방법을 살펴보겠습니다. 뛰어들어 보세요!

프로토타입 오염이란 무엇입니까?

프로토타입 오염은 JavaScript 애플리케이션에 영향을 미치는 일종의 취약점입니다. 이는 공격자가 개체의 프로토타입에 속성을 주입할 수 있을 때 발생하며, 이 속성은 이 프로토타입에서 상속되는 모든 개체에 전파될 수 있습니다. 이로 인해 기존 메소드 및 속성을 덮어쓰는 등 예상치 못한 동작이 발생하여 궁극적으로 애플리케이션의 보안 및 기능이 손상될 수 있습니다.

프로토타입 오염은 어떻게 발생하는가

프로토타입 오염이 어떻게 발생하는지 이해하려면 JavaScript 객체와 프로토타입을 자세히 살펴볼 필요가 있습니다. JavaScript에서 모든 개체에는 프로토타입이 있는데, 이는 첫 번째 개체가 속성과 메서드를 상속하는 또 다른 개체입니다. 이 프로토타입 체이닝을 통해 효율적인 속성 조회가 가능하지만 올바르게 처리되지 않을 경우 잠재적인 공격의 가능성도 열립니다.

다음은 프로토타입 오염이 어떻게 발생할 수 있는지에 대한 간단한 예입니다.

let obj = {};
console.log(obj.constructor); // function Object() { [native code] }

obj.__proto__.polluted = true;
console.log({}.polluted); // true

로그인 후 복사

이 예에서는 obj의 proto 속성을 ​​수정하여 동일한 프로토타입을 공유하는 모든 객체에 의도치 않게 영향을 미쳐 프로토타입 체인을 오염시키는 것이 얼마나 쉬운지 보여줍니다.

프로토타입 오염의 실제 사례

적절한 유효성 검사 없이 개체를 확장하거나 병합하는 데 사용자 입력이 사용되는 시나리오를 생각해 보세요. 일반적인 사용 사례는 쿼리 매개변수를 구성 개체에 병합하는 것입니다.

const merge = require('lodash/merge');

let config = {};
let query = JSON.parse('{"__proto__":{"admin":true}}');

merge(config, query);

console.log(config.admin); // undefined
console.log({}.admin); // true

로그인 후 복사

이 예에서는 Lodash 라이브러리의 병합 기능을 사용하여 구성과 쿼리를 결합합니다. 그러나 공격자가 제어하는 ​​쿼리 개체에는 전역 개체 프로토타입을 오염시키는 proto 속성이 포함되어 있어 모든 개체에 대해 admin을 true로 설정합니다.

프로토타입 오염 방지

프로토타입 오염으로부터 애플리케이션을 보호하려면 다음 조치를 취하는 것이 좋습니다.

1. 네이티브 프로토타입 확장 방지:
충돌 및 보안 취약성을 초래할 수 있으므로 기본 프로토타입(예: Object.prototype)을 직접 확장하지 마십시오.

예: 네이티브 프로토타입 확장 방지
다음을 피하세요:

Object.prototype.polluted = true; // Extending native prototype

let obj = {};
console.log(obj.polluted); // true

로그인 후 복사

대신 자신의 네임스페이스 내에 유틸리티 메서드를 만드세요.

const myUtils = {
  polluted: function() {
    // Your method implementation
  }
};

let obj = {};
console.log(obj.polluted); // undefined

로그인 후 복사

2. 사용자 입력 확인:
사용자 입력을 사용하여 개체를 구성하거나 수정하기 전에 항상 사용자 입력의 유효성을 검사하고 정리하세요. Joi 또는 Validator와 같은 라이브러리를 사용하여 엄격한 입력 유효성 검사 규칙을 적용하세요.

예: Joi를 사용하여 사용자 입력 유효성 검사

const Joi = require('joi');

const schema = Joi.object({
  admin: Joi.boolean().required()
});

const input = JSON.parse('{"admin":true}');

const { error, value } = schema.validate(input);

if (error) {
  console.error('Invalid input:', error.details);
} else {
  console.log('Valid input:', value);
}

로그인 후 복사

3. 안전한 개체 방법 사용:

프로토타입 없이 일반 객체를 생성하려면 Object.create(null)과 같이 프로토타입 체인을 순회하지 않는 안전한 객체 메서드를 사용하는 것이 좋습니다.

예: 안전한 개체 방법 사용

let safeObj = Object.create(null);
safeObj.admin = false;

console.log(safeObj.constructor); // undefined
console.log(safeObj.admin); // false

로그인 후 복사

4. 프로토타입 고정:

프로토타입 체인 수정을 방지하려면 Object.prototype을 고정하세요. 이는 Object.freeze()를 사용하여 수행할 수 있습니다.

예: 프로토타입 동결

Object.freeze(Object.prototype);

let obj = {};
try {
  obj.__proto__.polluted = true;
} catch (e) {
  console.error('Attempt to modify prototype failed:', e);
}

console.log({}.polluted); // undefined

로그인 후 복사

5. 업데이트 종속성:

보안 패치가 포함된 최신 버전을 사용하고 있는지 종속성을 정기적으로 업데이트하세요. 타사 라이브러리의 취약점은 프로토타입 오염 공격에 악용되는 경우가 많습니다.

예: npm을 사용하여 종속성 업데이트

npm update
로그인 후 복사

이 명령을 정기적으로 실행하여 모든 패키지가 최신 상태인지 확인하세요.

6. 모니터링 및 테스트:
프로토타입 오염 취약성을 감지하고 완화하기 위해 모니터링 및 자동화된 테스트를 구현합니다. npm 감사와 같은 도구는 프로젝트에서 취약한 패키지를 식별하는 데 도움이 될 수 있습니다.

예: npm 감사를 통한 모니터링 및 테스트

npm audit
로그인 후 복사

프로젝트의 취약점을 검사하려면 이 명령을 실행하세요. 발견된 문제에 대한 보고서를 제공하고 해결 단계를 제안합니다.

결론

프로토타입 오염은 확인하지 않고 방치할 경우 광범위한 결과를 초래할 수 있는 중요한 취약성입니다. 이것이 어떻게 발생하는지 이해하고 이를 방지하기 위한 모범 사례를 구현함으로써 JavaScript 애플리케이션의 보안을 크게 향상시킬 수 있습니다. 이러한 교활한 공격 벡터로부터 보호하기 위해 경계심을 유지하고 종속성을 최신 상태로 유지하며 항상 사용자 입력의 유효성을 검사하세요.

이 블로그가 도움이 되었다면 동료 개발자 및 보안 애호가와 공유하시기 바랍니다. 강력한 웹 보안을 유지하려면 최신 정보를 유지하고 사전 대응하는 것이 중요합니다. 즐거운 코딩하세요!

위 내용은 JavaScript에서 프로토타입 오염 공격을 방지하는 단계의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

원천:dev.to
본 웹사이트의 성명
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.
인기 튜토리얼
더>
최신 다운로드
더>
웹 효과
웹사이트 소스 코드
웹사이트 자료
프론트엔드 템플릿