一段简单的懂J的安 JSON 解析代码，可能是背后一次严重的原型污染 、提权绕过、全隐服务瘫痪的患黑盒利开始 。本文深入解析 JSON.parse() 的用方安全风险、攻击方式，香港云服务器懂J的安并讲解如何在黑盒测试中通过数据包行为反推出后台逻辑 ，背后为你打开攻防对抗中的全隐新视角。

一、患黑盒利JSON.parse 是用方什么？它本身安全吗？

JSON.parse() 是 JavaScript 原生函数，用于将字符串解析为 JavaScript 对象：

它本身不会执行代码、懂J的安不会像 Java 反序列化一样触发远程类加载或代码执行。亿华云背后

但它存在安全隐患的全隐传播点 ，关键在于 ：你如何使用解析后的患黑盒利对象！

二
、用方安全风险与利用场景

关键字段如 __proto__ / constructor / prototype 被写入对象中 
，通过合并操作传播到所有对象
。

利用前提：

典型 payload ：

后果示例：

常见数据包格式：

Burp 分析方法 ：

步骤

观察点

1. 请求发出

目标接口是源码下载否处理 JSON 格式数据

2. 重复访问其他接口

是否行为改变（权限 / 响应内容）

3. Proxy + Repeater

逐步调整 payload，如 ["__proto__"]

4. 添加测试断点

使用 Logger++ 插件记录响应中的 isAdmin 等字段是否被反映

如果行为生效 ，将获得Admin权限，页面菜单等权限将有明显改变。

如果前端用 innerHTML 或 document.write 直接渲染 JSON 解析的模板下载字段：

攻击者构造：

三
、数据包特征分析

我们如何**在黑盒测试中识别系统内部使用了 JSON.parse()**？以下是典型思路：

特征：API 接收 JSON 格式 body

判断方式分析 ：

线索

推理

是否支持嵌套对象 ？

是 → 可能直接 JSON.parse 解析并用于配置逻辑

修改特殊键如 __proto__ 有无响应变化？

有 → 极有可能未进行关键字段过滤

是否响应体中出现原样字段回显 ？

是 → 可能存在配置渲染逻辑

是否异常响应（500 / timeout） ？

是 → 考虑 DoS 测试有效

组合测试 ：

四、源码库防御建议

安全措施

描述

输入校验

禁止解析中出现 __proto__、constructor 等关键字段

使用深拷贝库

避免使用 Object.assign ，推荐 structuredClone() 或安全库

限制嵌套层级

使用库如 json-parse-better-errors、ajv 等做层级与结构校验

WAF 规则增强

对 JSON payload 关键字（如 "__proto__"）做识别和阻断

最小权限原则

后端合并配置时应隔离用户与系统配置空间，避免全局污染

五、总结

项目

说明

安全点

JSON.parse本身安全

风险点

使用方式不安全 ：合并配置、渲染 HTML、未校验字段

探测方式

看输入格式 、嵌套特征、行为响应变化

利用策略

利用字段污染 → 影响权限逻辑 / 全局变量 / DoS

防御建议

严格输入控制 + 合理合并方式 + 安全库使用