O que é um ataque de poluição de protótipo no Node.js
(blog.coderifleman.com)Ao investigar módulos disponíveis no npm, foram descobertas e reportadas vulnerabilidades de poluição de protótipo em muitos módulos, começando pelo lodash. E, usando o Ghost CMS, que de fato possuía a vulnerabilidade, foi até mesmo bem-sucedida uma demonstração em que os dados necessários para uma solicitação de redefinição de senha eram adulterados para executar um aplicativo de calculadora no servidor.
Há muito tempo se fala sobre o risco de ocorrência de poluição de protótipo em ambientes de execução JavaScript, mas provavelmente não se imaginava que isso seria usado para atacar servidores web no ambiente Node.js.
Neste documento, também para eu mesmo guardar isso na memória, pretendo explicar o princípio desse ataque.
Ainda não há comentários.