Уязвимость Prototype Pollution Это распространенное в JavaSc | Gebutcher

Уязвимость Prototype Pollution

Это распространенное в JavaScript явление, которое возникает ввиду сущности самого языка. JS прототипный: каждый объект, функция или набор данных в нем обладает таким свойством как prototype. Его можно модифицировать на ходу, используя специальный метод _proto_.

Такая логика изначально заложена в JavaScript, чтобы разработчики могли быстро модифицировать и менять JS-объекты, используя больше методов и свойств.

Хакеры используют эту особенность языка и внедряют в код несовместимые типы объектов, тем самым генерируя ошибки. Эти ошибки в свою очередь выводят из строя приложение и открывают дополнительные возможности для взлома.

Более подробно почитать про данную уязвимость вы можете в этом репозитории. Так же есть неплохая для понимания статья на русском тут. Кроме того, для данной уязвимости был разработан сканер на языке GO, найти который вы можете тут.

https://github.com/BlackFan/client-side-prototype-pollution
https://github.com/KathanP19/protoscan

#web #cspp #video #infosec #cybersecurity