CoreRuleSet项目中关于原型污染防护规则的优化分析

背景介绍

CoreRuleSet作为一款广泛使用的Web应用防火墙规则集，近期对其原型污染(Prototype Pollution)防护规则进行了重要调整。原型污染是一种JavaScript安全漏洞，攻击者通过修改对象原型链来注入恶意属性或方法，可能导致严重的安全问题。

规则变更分析

原规则934130和934131共同负责防护原型污染攻击，其中934131规则因性能问题被移除。这一调整导致某些特定格式的原型污染攻击载荷不再被检测，例如document[constructor][prototype]这类通过方括号访问构造函数的变体形式。

技术细节

原型污染攻击通常通过以下两种方式实现：

1. 直接修改__proto__属性
2. 通过对象的constructor.prototype链修改原型

原934130规则的正则表达式(?:__proto__|constructor\s*(?:\.|\[)\s*prototype)能够检测以下模式：

• 直接使用__proto__
• 通过点表示法访问原型，如constructor.prototype
• 通过方括号表示法访问原型，如constructor['prototype']

但无法检测类似constructor][prototype这样的变体，因为原正则表达式要求constructor后必须紧跟点或方括号开符号。

优化方案

技术团队提出了正则表达式优化方案，将constructor\s*扩展为constructor\s*\]?\s*，主要改进点包括：

1. 在constructor后添加\]?匹配可选的闭方括号
2. 保留原有的空白字符匹配\s*
3. 维持对点表示法和方括号开符号的检测能力

优化后的正则表达式能够覆盖更多攻击变体，包括：

• 传统形式：constructor.prototype
• 方括号形式：constructor['prototype']
• 新覆盖的变体：constructor][prototype

安全影响评估

这一优化确保了防护规则的全面性，特别是针对以下攻击场景：

1. 通过数组下标访问构造函数的变体
2. 使用非常规空白字符分隔的攻击载荷
3. 混淆了属性访问方式的混合攻击

同时，优化后的规则保持了良好的性能特征，不会对系统造成显著负担。

实施建议

对于使用CoreRuleSet的安全团队，建议：

1. 及时更新到包含此优化的版本
2. 审查现有日志中可能漏报的原型污染攻击尝试
3. 结合其他XSS防护规则形成纵深防御

这一改进体现了安全规则需要持续演进以应对不断变化的攻击技术，也展示了开源社区通过协作解决安全问题的有效性。