L'injection object JavaScript è sfruttabile?

Question

L'injection object JavaScript è sfruttabile?

#1 da (1 voti)

0

Sto testando un sito che si comporta in questo modo:

Quando cambio il mio nome utente, invio una richiesta POST con dati JSON come questo {"username":"John"} .
Se lo cambio ad esempio {"username":{"test":"test"}} , il mio nome utente è stampato in questo modo: [object Object]
Quindi ho concluso che posso iniettare oggetti e ho provato a sovrascrivere il metodo toString del mio oggetto facendo questo: {"username":{"test":"test","toString":"function() {return 1;}"}} , ma quando carico una pagina dove il nome utente deve essere stampato, ottengo solo un errore di runtime nel console dicendo che toString non è una funzione.

Suppongo di essere riuscito a sovrascrivere il metodo toString, ma sembra che lo abbia appena sostituito con una stringa, e quindi non è più un metodo e non può essere eseguito.

Qualche idea se questo potrebbe essere sfruttabile?

javascript json object-injection

posta pineappleman 17.05.2017 - 01:24

fonte

1 risposta

Leggi altre domande sui tag javascript json object-injection

Come valuti se il tuo computer ha un rootkit hardware? [chiuso] È possibile inserire le date di scadenza nelle chiavi?

score 1 · Accepted Answer

JSON non può essere utilizzato per l'iniezione di oggetti in JavaScript come suggerisce la tua domanda.

JSON consente solo stringhe, numeri, oggetti, matrici, booleani e null. Non consente le funzioni. Quindi quello che stai passando potrebbe sembrare una funzione, ma non lo è. È solo una stringa che sembra contenere del codice per una funzione. A meno che sul server non ci sia qualcosa che prenda esplicitamente stringhe e le esegua come codice (ad esempio eval ), il codice non verrà eseguito. La deserializzazione JSON non esegue codice nelle stringhe.

Quindi perché il messaggio di errore? Quando chiedi a JavaScript di trattare una variabile come una stringa (ad esempio, stampala), prova a convertirla in una stringa se non è già una. Questo viene fatto cercando di chiamare il membro toString . Ma hai impostato come stringa, non come funzione, quindi non può essere chiamata. Quindi l'errore.