探索lodash的一個安全漏洞
原文連接git
近期打算準備重構我17年寫的博客項目,打開項目看到了下圖的一條安全漏洞的提示。github
使用 lodash 這麼多年,竟然有高危漏洞,好奇心驅使我繼續探索。npm
探索過程
What
在項目下執行:安全
- npm audit
複製代碼
圖中網站地址: www.npmjs.com/advisories/…]bash
圖中 HackerOneReport 地址:hackerone.com/reports/310…函數
原來是原型污染。npm 網站上已經描述的很清楚了,是 'defaultsDeep'、'merge'、 'mergeWith' 三個函數在使用中可能會形成原型污染。網站
Why
嘗試一把:spa
使用 ES6 assign 實現:prototype
果真是有問題的。3d
How
相關補丁 commit: github.com/lodash/loda…
核心代碼:
結論: 實現了一個 safeGet 的函數來避免獲取原型上的值。
相關知識點
-
npm audit docs.npmjs.com/cli/audit
-
proto vs prototype: github.com/creeperyang…
最佳實踐
-
儘可能避免使用 for...in... 遍歷對象
-
遍歷對象時先使用 Object.keys() 獲取對象的全部 key,再進行遍歷
-
不要直接將一個未知變量做爲對象的 key 使用
-
在讀取一個對象未知屬性時,必定要使用 hasOwnProperty 判斷以後再去讀取
相關文章
- 1. 【無人機】【2015.07】探索無人飛行器的安全漏洞
- 2. 漏洞安全
- 3. webview 安全漏洞
- 4. web安全 XSS、CSRF 漏洞、SQL 注入漏洞,跳轉漏洞
- 5. D-Link 5個安全漏洞
- 6. 安全漏洞系列(一)---XSS漏洞解決方案(C# MVC)
- 7. 常見網絡安全漏洞(一)-- 文件包含漏洞
- 8. 一個phar://的漏洞
- 9. Lodash 嚴重安全漏洞背後 你不得不知道的 JavaScript 知識
- 10. 一個京東登陸的安全漏洞
- 更多相關文章...
- • ASP.NET MVC - 安全 - ASP.NET 教程
- • 探索Redis事務回滾 - Redis教程
- • Composer 安裝與使用
- • Tomcat學習筆記(史上最全tomcat學習筆記)
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
歡迎關注本站公眾號,獲取更多信息
