Preventing JavaScript Prototype Pollution

Rate this content
Bookmark

En 2018, se publicó un nuevo vector de ataque contra los códigos JavaScript: la Contaminación de Prototipos.
A primera vista, parecía bastante limitado en su impacto: básicamente sería una buena forma de hacer que algunos códigos se bloqueen. Sin embargo, se han producido múltiples casos de Ejecuciones de Código Remoto basados en este vector.
En esta charla, aclararemos qué son las contaminaciones de prototipos, su impacto real y cómo evitar que ocurran en su código.

This talk has been presented at Node Congress 2023, check out the latest edition of this JavaScript Conference.

FAQ

La contaminación de prototipos ocurre cuando una carga arbitraria manejada por la base de código JavaScript puede sobrescribir propiedades o métodos en algún lugar de la cadena de prototipos de uno o varios objetos. Esto puede suceder durante operaciones como la fusión de objetos.

La contaminación de prototipos puede ser maliciosa y ha sido asociada con más de 200 CVEs desde 2018, incluyendo ejecuciones de código remoto en aplicaciones importantes como Kibana.

Para prevenir la contaminación de prototipos, es importante filtrar propiedades como __proto__ en las funciones de fusión, asegurarse de que los objetos tienen propiedades propias definidas, y usar validación y sanitización de datos.

Herramientas como Sneak Audit y NPM Audit pueden identificar vulnerabilidades conocidas, incluyendo aquellas relacionadas con contaminación de prototipos, en las dependencias de NPM.

Un objeto defensivo se crea para evitar contaminación en la cadena de prototipos. Esto se puede lograr usando Object.create con null como argumento, generando así un objeto sin prototipo y, por ende, sin los métodos predeterminados de prototipos.

Una opción más segura es usar el operador de propagación (spread operator) para fusionar objetos, ya que tiende a ser más seguro respecto a la contaminación de prototipos en comparación con funciones más antiguas como lodash.merge.

Vladimir de Turckheim
Vladimir de Turckheim
27 min
14 Apr, 2023

Comments

Sign in or register to post your comment.
Video Summary and Transcription
Esta charla discute la producción de prototipos en JavaScript y se centra en el concepto de contaminación de prototipos. Explica el impacto de la contaminación de prototipos y formas de evitarla. La charla también destaca ejemplos del mundo real de vulnerabilidades de contaminación de prototipos en Kibana y MongoDB. Proporciona recomendaciones para prevenir y mitigar la contaminación de prototipos, como filtrar las funciones de fusión y usar objetos defensivos. La charla concluye con una discusión sobre herramientas como Semgrep para análisis estático y la importancia de la sanitización y validación en la prevención de ataques externos.
Available in English: Prototype Pollution in JavaScript

1. Introducción

Short description:

Hablaremos sobre la producción de prototipos en JavaScript, pero antes de eso, abordemos algo importante. El orador habla sobre su situación actual, estar desempleado y trabajar en la creación de una empresa.

Muchas gracias. Hablaremos sobre la producción de prototipos en JavaScript, pero antes de hacerlo, hablemos sobre algo muy importante, yo. Así que la biografía está un poco desactualizada y eso es culpa mía. Ya no trabajo en Datadog, desde hace dos semanas. Y estoy trabajando en una empresa llamada QueryTails, que ni siquiera es una empresa que necesite decirle al abogado que la incorpore. Y ni siquiera es una asociación porque básicamente soy yo mismo. Así que si quieres sentirte triste por mí, debes saber que me siento tan solo que hago mis reuniones de seguimiento con Chad GPT por la mañana. Y hablando del logotipo de las empresas, eso también lo diseñó otra IA. Así que básicamente soy yo estando desempleado en Twitter, dinero del desempleo francés, intentando

2. Understanding Prototype Pollution

Short description:

Hablemos sobre la contaminación de prototipos. Primero, aprendamos qué son los prototipos. También discutiremos el impacto de la contaminación de prototipos y cómo evitarla en JavaScript. JavaScript es basado en prototipos y algo tipado. Tenemos el operador typeof para verificar los tipos de variables. Los objetos en JavaScript tienen prototipos y cuando un método o propiedad no se encuentra en un objeto, se busca en el prototipo. Verificaremos de forma recursiva la cadena de prototipos hasta encontrar el método o propiedad. Si no se encuentra en ninguna parte de la cadena de prototipos, es undefined.

para construir una empresa. Pero hablemos sobre la contaminación de prototipos. Primero que nada, antes de contaminar prototipos, aprendamos qué son los prototipos. Incluso si esta es una conferencia de JavaScript, no está de más repasar. También puedes notar que no hay diseño en mis diapositivas en absoluto, ya que diseñar estas diapositivas consistió en eliminar el logotipo y el esquema de colores de Datadog ayer por la noche en el avión. Luego hablaremos sobre el impacto de la contaminación de prototipos y cómo evitar la contaminación de prototipos en JavaScript. Y esta charla ha sido diseñada para veinticinco minutos y solo tenía veinte. JavaScript es basado en prototipos y algo tipado. OK, ¿qué quiero decir? Comencemos con la parte de los tipos porque probablemente sea la más controvertida. Bueno, tienes el operador typeof y puedes verificar los tipos de variables. Entonces, el tipo de true es booleano, el tipo de null es un objeto que se llama el místico de mil millones de dólares, pero ese no es el tema de esta charla. El tipo de 10 es número, el tipo de 10n es bigint y así sucesivamente. Incluso tenemos el tipo undefined para cosas que están indefinidas. JavaScript es tan genial. Y prácticamente todo lo demás es un objeto. Entonces, los objetos son objetos. Los objetos de cadena son objetos. Las expresiones regulares son objetos, null es un objeto y los objetos son objetos. Obviamente, nuevamente, y los objetos tienen métodos, como si creas el objeto Foo1 y llamas a hasOnProperty en él, devolverá true. Y si creas el objeto Foo1 y verificas hasOnProperty, hasOnProperty, devolverá false porque el método hasOnProperty no pertenece al objeto Foo. Entonces, ¿a dónde pertenece? Usemos la mejor herramienta en la historia de la programación, el depurador. Y podemos verificar nuestro objeto y ver que el método hasOnProperty existe en algo que se llama un prototipo y el prototipo se puede acceder desde el objeto directamente. Entonces, ¿qué son los prototipos? En JavaScript, los objetos tienen prototipos. Cuando un método o propiedad no se encuentra en un objeto, se busca en el prototipo. Pero los prototipos son objetos. Entonces, si un método o propiedad no se encuentra en un prototipo, lo verificamos en su prototipo. Pero los prototipos son objetos. Entonces, si un método o propiedad no se encuentra en el prototipo, podemos verificar en el prototipo. Y eso es lo que llamamos la cadena de prototipos. Significa que verificaremos de forma recursiva toda la cadena de prototipos hasta llegar a null, para encontrar un método o una propiedad. Y si no se encuentra en ninguna parte de la cadena de prototipos, es undefined y undefined no es una función.

QnA

Check out more articles and videos

We constantly think of articles and videos that might spark Git people interest / skill us up or help building a stellar career

Escalando con Remix y Micro Frontends
Remix Conf Europe 2022Remix Conf Europe 2022
23 min
Escalando con Remix y Micro Frontends
Top Content
This talk discusses the usage of Microfrontends in Remix and introduces the Tiny Frontend library. Kazoo, a used car buying platform, follows a domain-driven design approach and encountered issues with granular slicing. Tiny Frontend aims to solve the slicing problem and promotes type safety and compatibility of shared dependencies. The speaker demonstrates how Tiny Frontend works with server-side rendering and how Remix can consume and update components without redeploying the app. The talk also explores the usage of micro frontends and the future support for Webpack Module Federation in Remix.
Componentes de Full Stack
Remix Conf Europe 2022Remix Conf Europe 2022
37 min
Componentes de Full Stack
Top Content
RemixConf EU discussed full stack components and their benefits, such as marrying the backend and UI in the same file. The talk demonstrated the implementation of a combo box with search functionality using Remix and the Downshift library. It also highlighted the ease of creating resource routes in Remix and the importance of code organization and maintainability in full stack components. The speaker expressed gratitude towards the audience and discussed the future of Remix, including its acquisition by Shopify and the potential for collaboration with Hydrogen.
Depuración de JS
React Summit 2023React Summit 2023
24 min
Depuración de JS
Top Content
Debugging JavaScript is a crucial skill that is often overlooked in the industry. It is important to understand the problem, reproduce the issue, and identify the root cause. Having a variety of debugging tools and techniques, such as console methods and graphical debuggers, is beneficial. Replay is a time-traveling debugger for JavaScript that allows users to record and inspect bugs. It works with Redux, plain React, and even minified code with the help of source maps.
Haciendo JavaScript en WebAssembly Rápido
JSNation Live 2021JSNation Live 2021
29 min
Haciendo JavaScript en WebAssembly Rápido
Top Content
WebAssembly enables optimizing JavaScript performance for different environments by deploying the JavaScript engine as a portable WebAssembly module. By making JavaScript on WebAssembly fast, instances can be created for each request, reducing latency and security risks. Initialization and runtime phases can be improved with tools like Wiser and snapshotting, resulting in faster startup times. Optimizing JavaScript performance in WebAssembly can be achieved through techniques like ahead-of-time compilation and inline caching. WebAssembly usage is growing outside the web, offering benefits like isolation and portability. Build sizes and snapshotting in WebAssembly depend on the application, and more information can be found on the Mozilla Hacks website and Bike Reliance site.
¿Webpack en 5 años?
JSNation 2022JSNation 2022
26 min
¿Webpack en 5 años?
Top Content
In the last 10 years, Webpack has shaped the way we develop web applications by introducing code splitting, co-locating style sheets and assets with JavaScript modules, and enabling bundling for server-side processing. Webpack's flexibility and large plugin system have also contributed to innovation in the ecosystem. The initial configuration for Webpack can be overwhelming, but it is necessary due to the complexity of modern web applications. In larger scale applications, there are performance problems in Webpack due to issues with garbage collection, leveraging multiple CPUs, and architectural limitations. Fixing problems in Webpack has trade-offs, but a rewrite could optimize architecture and fix performance issues.
Hacia una Biblioteca Estándar para Runtimes de JavaScript
Node Congress 2022Node Congress 2022
34 min
Hacia una Biblioteca Estándar para Runtimes de JavaScript
Top Content
There is a need for a standard library of APIs for JavaScript runtimes, as there are currently multiple ways to perform fundamental tasks like base64 encoding. JavaScript runtimes have historically lacked a standard library, causing friction and difficulty for developers. The idea of a small core has both benefits and drawbacks, with some runtimes abusing it to limit innovation. There is a misalignment between Node and web browsers in terms of functionality and API standards. The proposal is to involve browser developers in conversations about API standardization and to create a common standard library for JavaScript runtimes.

Workshops on related topic

Domina los Patrones de JavaScript
JSNation 2024JSNation 2024
145 min
Domina los Patrones de JavaScript
Top Content
Featured Workshop
Adrian Hajdin
Adrian Hajdin
Durante esta masterclass, los participantes revisarán los patrones esenciales de JavaScript que todo desarrollador debería conocer. A través de ejercicios prácticos, ejemplos del mundo real y discusiones interactivas, los asistentes profundizarán su comprensión de las mejores prácticas para organizar el código, resolver desafíos comunes y diseñar arquitecturas escalables. Al final de la masterclass, los participantes ganarán una nueva confianza en su capacidad para escribir código JavaScript de alta calidad que resista el paso del tiempo.
Puntos Cubiertos:
1. Introducción a los Patrones de JavaScript2. Patrones Fundamentales3. Patrones de Creación de Objetos4. Patrones de Comportamiento5. Patrones Arquitectónicos6. Ejercicios Prácticos y Estudios de Caso
Cómo Ayudará a los Desarrolladores:
- Obtener una comprensión profunda de los patrones de JavaScript y sus aplicaciones en escenarios del mundo real- Aprender las mejores prácticas para organizar el código, resolver desafíos comunes y diseñar arquitecturas escalables- Mejorar las habilidades de resolución de problemas y la legibilidad del código- Mejorar la colaboración y la comunicación dentro de los equipos de desarrollo- Acelerar el crecimiento de la carrera y las oportunidades de avance en la industria del software
Masterclass: Integrando LangChain con JavaScript para Desarrolladores Web
React Summit 2024React Summit 2024
92 min
Masterclass: Integrando LangChain con JavaScript para Desarrolladores Web
Featured Workshop
Vivek Nayyar
Vivek Nayyar
Sumérgete en el mundo de la IA con nuestro masterclass interactivo diseñado específicamente para desarrolladores web. "Masterclass: Integrando LangChain con JavaScript para Desarrolladores Web" ofrece una oportunidad única para cerrar la brecha entre la IA y el desarrollo web. A pesar de la prominencia de Python en el desarrollo de IA, el vasto potencial de JavaScript sigue siendo en gran medida inexplorado. Este masterclass tiene como objetivo cambiar eso.A lo largo de esta sesión práctica, los participantes aprenderán cómo aprovechar LangChain, una herramienta diseñada para hacer que los modelos de lenguaje grandes sean más accesibles y útiles, para construir agentes de IA dinámicos directamente dentro de entornos JavaScript. Este enfoque abre nuevas posibilidades para mejorar las aplicaciones web con funciones inteligentes, desde el soporte al cliente automatizado hasta la generación de contenido y más.Comenzaremos con los conceptos básicos de LangChain y los modelos de IA, asegurando una base sólida incluso para aquellos nuevos en IA. A partir de ahí, nos sumergiremos en ejercicios prácticos que demuestran cómo integrar estas tecnologías en proyectos reales de JavaScript. Los participantes trabajarán en ejemplos, enfrentando y superando los desafíos de hacer que la IA funcione sin problemas en la web.Este masterclass es más que una experiencia de aprendizaje; es una oportunidad de estar a la vanguardia de un campo emergente. Al final, los asistentes no solo habrán adquirido habilidades valiosas, sino que también habrán creado funciones mejoradas con IA que podrán llevar a sus proyectos o lugares de trabajo.Ya seas un desarrollador web experimentado curioso acerca de la IA o estés buscando expandir tus habilidades en áreas nuevas y emocionantes, "Masterclass: Integrando LangChain con JavaScript para Desarrolladores Web" es tu puerta de entrada al futuro del desarrollo web. Únete a nosotros para desbloquear el potencial de la IA en tus proyectos web, haciéndolos más inteligentes, interactivos y atractivos para los usuarios.
Uso de CodeMirror para construir un editor de JavaScript con Linting y AutoCompletado
React Day Berlin 2022React Day Berlin 2022
86 min
Uso de CodeMirror para construir un editor de JavaScript con Linting y AutoCompletado
Top Content
WorkshopFree
Hussien Khayoon
Kahvi Patel
2 authors
Usar una biblioteca puede parecer fácil a primera vista, pero ¿cómo eliges la biblioteca correcta? ¿Cómo actualizas una existente? ¿Y cómo te abres camino a través de la documentación para encontrar lo que quieres?
En esta masterclass, discutiremos todos estos puntos finos mientras pasamos por un ejemplo general de construcción de un editor de código usando CodeMirror en React. Todo mientras compartimos algunas de las sutilezas que nuestro equipo aprendió sobre el uso de esta biblioteca y algunos problemas que encontramos.
Testing Web Applications Using Cypress
TestJS Summit - January, 2021TestJS Summit - January, 2021
173 min
Testing Web Applications Using Cypress
Top Content
WorkshopFree
Gleb Bahmutov
Gleb Bahmutov
Esta masterclass te enseñará los conceptos básicos para escribir pruebas end-to-end útiles utilizando Cypress Test Runner.
Cubriremos la escritura de pruebas, cubriendo cada característica de la aplicación, estructurando pruebas, interceptando solicitudes de red y configurando los datos del backend.
Cualquiera que conozca el lenguaje de programación JavaScript y tenga NPM instalado podrá seguir adelante.
Desatando los Componentes del Servidor React: Una Inmersión Profunda en el Desarrollo Web de la Próxima Generación
React Day Berlin 2023React Day Berlin 2023
149 min
Desatando los Componentes del Servidor React: Una Inmersión Profunda en el Desarrollo Web de la Próxima Generación
Workshop
Maurice de Beijer
Maurice de Beijer
¡Prepárate para potenciar tus habilidades de desarrollo web con los Componentes del Servidor React! En esta inmersiva masterclass de 3 horas, desbloquearemos el potencial completo de esta tecnología revolucionaria y exploraremos cómo está transformando la forma en que los desarrolladores construyen aplicaciones web rápidas y eficientes.
Únete a nosotros mientras nos adentramos en el emocionante mundo de los Componentes del Servidor React, que combinan sin problemas el renderizado del lado del servidor con la interactividad del lado del cliente para un rendimiento y una experiencia de usuario inigualables. Obtendrás experiencia práctica a través de ejercicios prácticos, ejemplos del mundo real y orientación experta sobre cómo aprovechar el poder de los Componentes del Servidor en tus propios proyectos.
A lo largo de la masterclass, cubriremos temas esenciales, incluyendo:- Entender las diferencias entre los Componentes del Servidor y del Cliente- Implementar Componentes del Servidor para optimizar la obtención de datos y reducir el tamaño del paquete JavaScript- Integrar Componentes del Servidor y del Cliente para una experiencia de usuario fluida- Estrategias para pasar datos efectivamente entre componentes y gestionar el estado- Consejos y mejores prácticas para maximizar los beneficios de rendimiento de los Componentes del Servidor React
0 a Auth en una Hora Usando NodeJS SDK
Node Congress 2023Node Congress 2023
63 min
0 a Auth en una Hora Usando NodeJS SDK
WorkshopFree
Asaf Shen
Asaf Shen
La autenticación sin contraseña puede parecer compleja, pero es fácil de agregar a cualquier aplicación utilizando la herramienta adecuada.
Mejoraremos una aplicación JS de pila completa (backend de Node.JS + frontend de React) para autenticar usuarios con OAuth (inicio de sesión social) y contraseñas de un solo uso (correo electrónico), incluyendo:- Autenticación de usuario - Administrar interacciones de usuario, devolver JWT de sesión / actualización- Gestión y validación de sesiones - Almacenar la sesión para solicitudes de cliente posteriores, validar / actualizar sesiones
Al final del masterclass, también tocaremos otro enfoque para la autenticación de código utilizando Flujos Descope en el frontend (flujos de arrastrar y soltar), manteniendo solo la validación de sesión en el backend. Con esto, también mostraremos lo fácil que es habilitar la biometría y otros métodos de autenticación sin contraseña.
Tabla de contenidos- Una breve introducción a los conceptos básicos de autenticación- Codificación- Por qué importa la autenticación sin contraseña
Requisitos previos- IDE de tu elección- Node 18 o superior