In der makellosen Architektur der modernen Webentwicklung ist die Javascript-Filter Funktion (Array.prototype.filter()) wird als ein Eckpfeiler der funktionalen Programmierung gefeiert. Sie ermöglicht es Entwicklern, deklarativen, sauberen Code zur Bearbeitung von Datensätzen zu schreiben.
Für den gegnerischen Sicherheitsingenieur stellt das Konzept eines "Filters" in JavaScript jedoch eine gefährliche Dichotomie dar. Auf der einen Seite ist es die Ursache für weit verbreitete Client-seitige Zugangskontrolle Schwachstellen. Andererseits verwandelt die Flexibilität der JavaScript-Sprache selbst Filtermethoden in leistungsfähige Gadgets zur Umgehung von Web Application Firewalls (WAFs) und Input Sanitizers.
Dieser Leitfaden geht über die Syntax hinaus. Wir werden die architektonischen Fehler der clientseitigen Filterung analysieren, untersuchen, wie Angreifer Standardbibliotheksmethoden zur Ausführung von Code nutzen, und erforschen, wie KI-gesteuerte Plattformen wie Sträflich automatisieren die Entdeckung dieser subtilen logischen Fehler.
Der architektonische Makel: Der clientseitige Javascript-Filter
Die am weitesten verbreitete Schwachstelle im Zusammenhang mit dem Javascript-Filter ist kein Fehler in der Sprache, sondern ein Fehler in der Implementierung von Sicherheitsmodellen. In der Ära von Single Page Applications (SPAs) und Thick Clients (React, Vue, Angular) verwechseln Entwickler oft Präsentation mit Sicherheit.
Das Muster der "Sicherheit durch Unklarheit"
Betrachten Sie ein Standardszenario: Ein API-Endpunkt gibt eine Liste von Benutzern zurück. Der Frontend-Entwickler muss nur die aktiven Benutzer anzeigen und die Administratoren ausblenden.
JavaScript
// DAS ANFÄLLIGE MUSTER
fetch('/api/v1/users')
.then(response => response.json())
.then(data => {
// Entwickler verwendet Javascript-Filter zur "Sicherung" der Ansicht
const visibleUsers = data.filter(user => user.role !== 'admin' && user.status === 'active');
renderTable(visibleUsers);
});
Für einen gewöhnlichen DAST-Scanner sieht diese Anwendung sicher aus. Die Benutzeroberfläche zeigt keine Verwaltungsdaten an. Ein Sicherheitsingenieur, der Burp Suite oder einfache DevTools verwendet, kennt jedoch die Wahrheit.
Der Angriffsvektor: IDOR und PII-Leakage
Die Javascript-Filter wird im Browser des Benutzers ausgeführt, der eine nicht vertrauenswürdige Umgebung darstellt. Die Schwachstelle besteht hier darin, dass die vollständiger Datensatz wurde über den Draht übertragen.
Schritte der Ausbeutung:
- Abfangen: Der Angreifer leitet den Datenverkehr um.
- Inspizieren Sie: Die rohe JSON-Antwort enthält Objekte wie
{ "id": 42, "role": "admin", "pii_ssn": "xxx-xx-xxxx" }. - Bypass: Der Angreifer ignoriert die UI-Logik vollständig.
Dies ist ein Versagen der Minimierung von Daten. Eine ordnungsgemäße Implementierung führt die Filterung auf der Ebene der Datenbankabfrage durch (SQL WHERE Klausel), wodurch sichergestellt wird, dass sensible Bytes das Rechenzentrum nie verlassen.
Syntax bewaffnen: Javascript-Filter als XSS-Gadget
Wenn wir uns auf Cross-Site Scripting (XSS) konzentrieren, wird der Begriff Javascript-Filter bekommt eine neue Bedeutung: die defensiven Filter (WAFs/Sanitizer), die versuchen, bösartigen Code zu blockieren.
Angreifer suchen ständig nach "Gadgets" - standardmäßige, verfügbare Methoden in der JavaScript-Laufzeitumgebung, die zur Ausführung von beliebigem Code missbraucht werden können, ohne blockierte Schlüsselwörter wie eval(), Funktion(), oder <script>.
Die Umgehung der Konstrukteursverkettung
WAFs suchen oft nach offensichtlichen Senken. Aber JavaScript ist dynamisch. Die Array.prototype.filter Methode ist eine Funktion, und jede Funktion in JavaScript hat einen Konstruktor. Der Konstruktor einer Funktion ist der Funktion Objekt, das sich ähnlich verhält wie eval().
Wenn eine WAF blockiert eval() aber Array-Methoden erlaubt, kann ein Angreifer eine Nutzlast konstruieren, indem er die Filter Methode selbst.
Die Bypass-Logik:
[]erstellt ein Array.[].filtergreift auf die Filterfunktion zu.[].filter.constructorgreift auf die globaleFunktionKonstrukteur.Function('code')()führt den Code aus.
Die Nutzlast:
JavaScript
// Standard-Nutzdaten (durch WAF blockiert)
eval('alert(1)')
// Umgehung mit Javascript-Filter-Gadget
[].filter.constructor('alert(1)')()
Tabelle: Übliche Javascript-Filterumgehungstechniken
| Technik | Struktur der Nutzlast | Mechanismus | Sicherheitskontext |
| Verkettung von Konstruktoren | [].filter.constructor('code')() | Verwendet die Prototypenkette, um die Funktion Konstrukteur. | Umgeht die Schlüsselwortfilter von eval. |
| Iterator-Missbrauch | [].map.constructor('code')() | Ähnlich wie Filter; funktioniert mit jeder Array-Prototyp-Methode. | Redundanz bei Filter besonders überwacht wird. |
| String-Verschleierung | [].filter['c'+'onstructor'] | Zerlegt das Schlüsselwort "constructor" in verkettete Zeichenfolgen. | Umgeht die Regex-basierten WAF-Regeln. |
| Unicode-Kodierung | \u0061lert(1) | Verwendet Unicode-Escapes für Funktionsnamen. | JavaScript-Parser dekodieren dies; einfache Filter tun dies nicht. |
Wenn Filter versagen: Prototyp-Verschmutzung (CVE-2019-10744)
Das Konzept der "Filterung" ist beim Zusammenführen von Objekten von entscheidender Bedeutung. Wenn eine Anwendung JSON-Eingaben akzeptiert und sie in ein bestehendes Objekt zusammenführt, ohne strikt Filtrieren die Schlüssel, öffnet es die Tür zur Prototyp-Verschmutzung.
Eines der eindrücklichsten Beispiele dafür war CVE-2019-10744 in der weit verbreiteten lodash Bibliothek.
Die Anatomie der Verwundbarkeit
Die Funktion defaultsDeep wurde entwickelt, um Objekte rekursiv zusammenzuführen. Es wurde jedoch versäumt, einen Sicherheitsfilter zu implementieren, um den Schlüssel Konstrukteur.
Die Ausbeutung:
Ein Angreifer stellt eine JSON-Nutzlast bereit, die eine Konstruktoreigenschaft enthält, die auf einen Prototyp verweist.
JavaScript
const payload = '{"constructor": {"prototype": {"isAdmin": true}}}';
_.defaultsDeep({}, JSON.parse(payload));
Die Auswirkungen:
Da die Eingabe nicht gefiltert wurde, verunreinigte die Zuweisung die Basis Object.prototype. Plötzlich erbte jedes Objekt in der JavaScript-Laufzeitumgebung die Eigenschaft isAdmin: true.
Wenn die Anwendung eine Authentifizierungslogik wie:
JavaScript
if (user.isAdmin) { grantAccess(); }
Der Angreifer erhält sofort administrativen Zugriff und verursacht je nach Node.js-Kontext einen Denial of Service oder RCE.
Abhilfe: Eine robuste Javascript-Filter für Objektschlüssel muss Block-Liste __proto__, Konstrukteurund Prototyp.
Automatisierte logische Entdeckung: Der Penligent-Ansatz
Die oben beschriebenen Schwachstellen - Client-Side Filtering und Prototype Pollution - sind mit herkömmlichen DAST-Tools (Dynamic Application Security Testing) bekanntermaßen schwer zu erkennen.
- Traditionelle Scanner: Prüfen Sie auf Abstürze, Fehlercodes (500) oder einfache reflektierte XSS-Strings. Sie verstehen nicht, dass
benutzer.filter()sensible Daten versteckt. - Die KI-Lücke: Um diese Probleme zu finden, brauchen Sie eine Maschine, die Folgendes versteht Code-Semantik und Datenfluss.
Dies ist der Ort, an dem Penligent.ai ändert den Arbeitsablauf für den Sicherheitsingenieur grundlegend.
Semantisches Fuzzing und logische Analyse
Penligent setzt fortschrittliche KI-Agenten ein, die über den Musterabgleich hinausgehen. Bei der Analyse einer Zielanwendung führt die Penligent-Engine Folgendes durch Kontextabhängige Analyse:
- Prüfung des Datenflusses: Penligent überwacht die API-Antworten mit dem gerenderten DOM. Wenn die API 50 Felder zurückgibt, das DOM aber nur 5 Felder wiedergibt, schließt die KI auf einen potenziellen Javascript-Filter Logikfehler und kennzeichnet ihn als Risiko für ein Datenleck.
- Gadget-Generation: Anstatt eine statische Liste von XSS-Nutzlasten zu verwenden, generiert Penligent Nutzlasten dynamisch auf der Grundlage der verfügbaren Objekte in der Umgebung. Wenn es feststellt, dass
Array.prototype.filterist verfügbar, aberevalblockiert ist, konstruiert es die spezifische[].filter.constructorBypass-Nutzlast. - Prototypisches Fuzzing: Die KI durchforstet JSON-Endpunkte mit prototypischen Verschmutzungsvektoren und überwacht den Anwendungsstatus auf unerwartete Eigenschaftsvererbung, um Schwachstellen im Stil von CVE-2019-10744 selbst in benutzerdefiniertem Code zu identifizieren.
Durch die Automatisierung der "Hacker-Intuition" ermöglicht es Penligent den Sicherheitsteams, tiefe logische Schwachstellen zu erkennen, die normalerweise eine manuelle Codeüberprüfung erfordern.
Defense in Depth: Härtung der Laufzeit
Verteidigung gegen waffenfähige Javascript-Filter Gadgets und Logikfehler müssen wir eine mehrschichtige Verteidigungsstrategie verfolgen.
1. Die goldene Regel: Server-seitige Validierung
Verlassen Sie sich bei der Sicherheit niemals auf eine clientseitige Logik. Die Filterung muss auf der Ebene der Datenbank erfolgen.
- Prüfung: Überprüfen Sie alle API-Endpunkte. Stellen Sie sicher, dass sie nur die Daten zurückgeben, die der Benutzer sehen darf im Augenblick.
- DTOs: Verwenden Sie Datenübertragungsobjekte am Backend, um sensible Felder vor der Serialisierung zu entfernen.
2. Unveränderliche Prototypen
Um eine ganze Klasse von Prototype Pollution-Schwachstellen zu beseitigen, frieren Sie die Standard-Objektprototypen beim Start der Anwendung ein.
JavaScript
// Verteidigung gegen Prototyp-Verschmutzung
Object.freeze(Object.prototype);
Object.freeze(Array.prototype);
Damit wird sichergestellt, dass auch bei einem Javascript-Filter einen bösartigen Schlüssel nicht blockieren kann, gibt die Laufzeitumgebung einen Fehler aus, anstatt die Änderung zuzulassen.
3. Sicherheitspolitik für Inhalte (CSP)
CSP ist der ultimative Backstop. Um zu verhindern, dass die [].filter.constructor auszunutzen, müssen Sie die Ausführung von Zeichenketten als Code deaktivieren.
Empfohlene Überschrift:
Content-Security-Policy: default-src 'self'; script-src 'self'; object-src 'none';
Das ist entscheidend, vermeiden Hinzufügen von 'unsicher-wert'. Ohne 'unsicher-wert'verweigert der Browser die Ausführung von Code, der von der Funktion Konstruktor, wodurch das Filter-Gadget unbrauchbar wird.
4. Reinigung der Eingaben mit DOMPurify
Schreiben Sie keine eigenen Regex-Filter. Sie können leicht umgangen werden. Verwenden Sie DOMPurify zur Bereinigung von HTML-Eingaben. Es erstellt eine Sandbox, analysiert den HTML-Code und entfernt bösartige Tags/Attribute auf der Grundlage einer strikten Zulassen-Liste, wodurch XSS neutralisiert wird, bevor es das DOM erreicht.
Schlussfolgerung
Der Begriff Javascript-Filter ist trügerisch. Für einen jungen Entwickler ist es ein Dienstprogramm. Für einen erfahrenen Sicherheitsingenieur ist es ein Signal - ein Signal, um nach Datenlecks zu suchen, eine Spielerei zur Umgehung von XSS und ein wichtiger Prüfpunkt für die Eingabevalidierung.
Da moderne Anwendungen immer komplexer werden, ist es unhaltbar, sich auf manuelle Tests zu verlassen, um diese subtilen Logikfehler zu erkennen. Die Nutzung eines tiefgreifenden Architekturverständnisses in Kombination mit KI-gesteuerter Automatisierung von Plattformen wie Sträflich ist die einzige Möglichkeit, der Zeit voraus zu sein.
