如何基于 Object.getPrototypeOf 实现深层递归的原型链污染漏洞自动扫描器

目前golang学习网上已经有很多关于文章的文章了，自己在初次阅读这些文章中，也见识到了很多学习思路；那么本文《如何基于 Object.getPrototypeOf 实现深层递归的原型链污染漏洞自动扫描器》，也希望能帮助到大家，如果阅读完后真的对你学习文章有帮助，欢迎动动手指，评论留言并分享~

Object.getPrototypeOf 是遍历原型链的关键工具，用于构建原型链快照并检测污染；原型链污染需同时满足可控输入、深度合并逻辑、未过滤敏感键名三个条件。

Object.getPrototypeOf 本身不会导致原型链污染，但它是遍历原型链的关键工具；真正的风险来自将用户输入不加校验地赋值给对象属性（尤其是 __proto__、constructor.prototype 等敏感位置），而扫描器需通过递归获取原型链并检测这些危险赋值点。

理解原型链污染的触发路径

污染发生需同时满足三个条件：存在可控制的输入（如 JSON 解析、query string、表单字段）、存在深度合并/递归赋值逻辑（如 lodash.merge、deepAssign）、目标对象未对键名做过滤（尤其放行 __proto__、constructor、prototype）。扫描器不是运行时拦截，而是静态+动态结合识别这类高危模式。

用 Object.getPrototypeOf 构建原型链快照

在运行时采集目标对象的完整原型链，用于比对是否已被污染或存在可被污染的挂载点：

• 从目标对象开始，循环调用 Object.getPrototypeOf(obj)，直到返回 null
• 对每个原型对象，检查其是否包含用户可控属性（如 hasOwnProperty('__proto__') 或枚举所有自有属性）
• 特别关注 Object.prototype 和 Function.prototype 是否被意外添加了非常规属性（例如 toString: maliciousFn）

定位高危赋值操作的代码特征

自动扫描需结合 AST 分析与运行时 hook，重点识别以下模式：

• JSON.parse 后直接传入 merge 函数（如 merge({}, JSON.parse(input))）
• 递归遍历对象时使用 for...in 且未过滤 hasOwnProperty（易遍历到原型属性）
• 显式赋值语句匹配 obj\['__proto__'\] =.*、obj\.constructor\.prototype\.xxx =.* 正则
• 第三方库调用：检测 lodash.merge、jquery.extend(true, ...)、deep-extend 等已知有风险的函数

构造轻量级 PoC 并验证污染效果

扫描器发现可疑点后，应自动生成最小验证 payload：

• 发送请求体：{"__proto__":{"polluted":true}} 或 {"constructor":{"prototype":{"polluted":true}}}
• 在服务端 hook 关键原型对象（如 Object.prototype.polluted），捕获属性访问
• 发起二次请求（如 {}），检查响应中是否出现 polluted: true —— 若出现，确认漏洞存在

不复杂但容易忽略的是：很多框架会冻结 Object.prototype，但污染仍可能发生在 Array.prototype 或自定义类原型上。扫描器需覆盖全原型链，而非只盯 Object.prototype。

今天带大家了解了的相关知识，希望对你有所帮助；关于文章的技术知识我们会一点点深入介绍，欢迎大家关注golang学习网公众号，一起学习编程~