• はてなブックマーク
  • テクノロジー
  • Node.jsにおけるプロトタイプ汚染攻撃とは何か - ぼちぼち日記
  • Twitterでシェア
  • Facebookでシェア

Node.jsにおけるプロトタイプ汚染攻撃とは何か - ぼちぼち日記

テクノロジー カテゴリーの変更を依頼 記事元:jovi0608.hatenablog.com
適切な情報に変更
496 usersがブックマーク コメント45

    記事へのコメント45

    • 注目コメント
    • 新着コメント
    オーナーコメントを固定しています
    jovi0608
    オーナー jovi0608 久々にNodeネタでブログを書きました。

    2018/10/19 リンク

    その他
    terurou
    terurou 安直なObjectのマージ、JSの文化だと割とやられちゃってるんよね。あと例がサーバーサイドだけど、PWAやらReactNativeやらでも同じことになるんよね。

    2018/10/19 リンク

    その他
    t-murachi
    t-murachi Node.js に __proto__ 無効モードが欲しいくらい。いやね、アクセス制御のない言語仕様で特別な挙動をする共通の特殊メンバを持たせること事態が危険っちゃ危険なんだよね…(´・ω・`)

    2018/10/19 リンク

    その他
    field_combat
    field_combat なるほどねぇ

    2018/10/19 リンク

    その他
    mizchi
    mizchi 攻撃というかJSってそういうもんじゃんって認識だった

    2018/10/19 リンク

    その他
    otchy210
    otchy210 うっかり作り込みそうだなこれ…。オブジェクトのマージなんて日常じゃんか。Babel のプラグインでオブジェクトリテラルを全部 Map に変換するのが実用的には有効そうな気がする。

    2018/10/19 リンク

    その他
    ledsun
    ledsun 言われてみれば、空のオブジェクトの__proto__を使うだけで、ルートオブジェクトにプロパティ生やせるの、長く生きて外部から任意の入力を受け取るサーバーアプリケーションには、すごい仕様だな。気がつかなかった

    2018/10/19 リンク

    その他
    wh11e7rue
    wh11e7rue めっちゃおもしろい

    2018/10/19 リンク

    その他
    koba789
    koba789 "hasOwnProperty" を上書きするというアレもあるので、俺は Object.hasOwnProperty.call(obj, "key") してる

    2018/10/19 リンク

    その他
    オーナーコメントを固定しています
    jovi0608
    オーナー jovi0608 久々にNodeネタでブログを書きました。

    2018/10/19 リンク

    その他
    mag4n
    mag4n 読んでいる

    2019/09/11 リンク

    その他
    tettekete37564
    tettekete37564 JS って遠い昔からそういう言語だよね。各個人が前提ルールを書き換えられることは決して自由なことではない。

    2018/11/05 リンク

    その他
    rryu
    rryu __proto__が仕様化されていたとは。Objectには特殊な意味を持つプロパティはないという状況が変わってしまったのか。

    2018/10/31 リンク

    その他
    katsyoshi
    katsyoshi こわぁ

    2018/10/31 リンク

    その他
    bluerabbit
    bluerabbit なるほど。マジか...

    2018/10/31 リンク

    その他
    ginpei
    ginpei __proto__を含むオブジェクトを雑にmergeするとObject.prototypeを操作してしまう問題。npm auditでライブラリーの脆弱性を確認。constructorは気にしないで良いの?

    2018/10/21 リンク

    その他
    igrep
    igrep これはつらい

    2018/10/20 リンク

    その他
    teppeis
    teppeis 外部から入力される文字列をkeyに入れちゃダメ

    2018/10/20 リンク

    その他
    zyzy
    zyzy JSONと緊密な関係なおかげで、Objectにそのまんまくっつけられてしまい、実際そうやって扱いがちな事の弊害、という側面の問題でもあるのか

    2018/10/20 リンク

    その他
    masterq
    masterq やっぱJSはブラウザで走らせる言語なのでは。。。

    2018/10/20 リンク

    その他
    nilab
    nilab Node.jsにおけるプロトタイプ汚染攻撃とは何か - ぼちぼち日記

    2018/10/19 リンク

    その他
    progrhyme
    progrhyme なるほど。。これはうっかりやりそうで怖い

    2018/10/19 リンク

    その他
    ardarim
    ardarim Javascriptの自由さが仇になってる感じかな

    2018/10/19 リンク

    その他
    uehaj
    uehaj 起動のある時点で__proto__をリードオンリーにするモードとかが必要なんじゃないかね。無効にするといろいろと機能しなくなるとして。

    2018/10/19 リンク

    その他
    t-murachi
    t-murachi Node.js に __proto__ 無効モードが欲しいくらい。いやね、アクセス制御のない言語仕様で特別な挙動をする共通の特殊メンバを持たせること事態が危険っちゃ危険なんだよね…(´・ω・`)

    2018/10/19 リンク

    その他
    tohta111a
    tohta111a 参考になりました

    2018/10/19 リンク

    その他
    xorphitus
    xorphitus なるほど…。言われてみればそうだよねって思うけど、言われないとやらかすな

    2018/10/19 リンク

    その他
    otchy210
    otchy210 うっかり作り込みそうだなこれ…。オブジェクトのマージなんて日常じゃんか。Babel のプラグインでオブジェクトリテラルを全部 Map に変換するのが実用的には有効そうな気がする。

    2018/10/19 リンク

    その他
    koba789
    koba789 "hasOwnProperty" を上書きするというアレもあるので、俺は Object.hasOwnProperty.call(obj, "key") してる

    2018/10/19 リンク

    その他
    infobloga
    infobloga 重要

    2018/10/19 リンク

    その他
    okumuraa1
    okumuraa1 勉強させていただきますm(_ _)m

    2018/10/19 リンク

    その他
    komutan1
    komutan1 JavaのStrutsでも似たような脆弱性あったな。リフレクション使って入力データをコピーしてたのでクラスローダを触られちゃうやつ。

    2018/10/19 リンク

    その他
    Futaro99
    Futaro99 hasOwnProperty が長くて書きたく無い問題

    2018/10/19 リンク

    その他
    coppieee
    coppieee 一番の対策は脆弱性対応したライブラリにアップデートするでいいな

    2018/10/19 リンク

    その他
    rti7743
    rti7743 外部から値を取るところはパラノイアと同じで警戒が必要。気をつけろ。誰も信頼するな。レーザーガンを手放すな!

    2018/10/19 リンク

    その他
    hasegawatomoki
    hasegawatomoki オゥ強烈。

    2018/10/19 リンク

    その他
    raimon49
    raimon49 keyをチェックせずにmerge/cloneしていると任意の値がこっそり入ってしまう問題。緩和させる対策としてObject.freezeやMapの利用が挙げられている。

    2018/10/19 リンク

    その他
    Fohte
    Fohte 面白いなー

    2018/10/19 リンク

    その他
    terurou
    terurou 安直なObjectのマージ、JSの文化だと割とやられちゃってるんよね。あと例がサーバーサイドだけど、PWAやらReactNativeやらでも同じことになるんよね。

    2018/10/19 リンク

    その他
    mumincacao
    mumincacao PHP でも unserialize() で外部由来のでーた使うとおぶじぇくと埋め込めるなんてのあったなぁ・・・ (・x【みかん

    2018/10/19 リンク

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    Node.jsにおけるプロトタイプ汚染攻撃とは何か - ぼちぼち日記

    1. はじめに 最近わけあってNodeのセキュリティ調査をしているのですが、今年の5月に開催された North S...

    ブックマークしたユーザー

    • techtech05212023/05/29 techtech0521
    • thangnvbkhn2022/10/28 thangnvbkhn
    • seapig_dolphin2022/05/05 seapig_dolphin
    • miki_bene2022/01/14 miki_bene
    • Akaza2021/09/19 Akaza
    • ishideo2021/05/18 ishideo
    • bayashi_net2021/05/18 bayashi_net
    • shiba_yu362021/05/18 shiba_yu36
    • bizen2412021/05/13 bizen241
    • simics-ja2021/03/11 simics-ja
    • Krouton2021/02/10 Krouton
    • makotot-riceball2021/01/21 makotot-riceball
    • touch_web2020/12/22 touch_web
    • havanap2020/10/28 havanap
    • lm0x2020/08/12 lm0x
    • topporo2020/07/21 topporo
    • narukami8942020/07/16 narukami894
    • toshi-toma2020/03/24 toshi-toma
    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事

    はてなブックマーク

    公式Twitter

    はてなのサービス

    • App Storeからダウンロード
    • Google Playで手に入れよう
    Copyright © 2005-2024 Hatena. All Rights Reserved.