我了解lodash prototype pollution security vulnerabilities是什么,尤其是函数defaultsDeep可能会被欺骗来添加或修改Object.prototype的属性。
但是,在所有受影响的js代码在他自己的浏览器沙箱中运行之后,我看不到如何利用它。
即使服务器正在运行nodejs,我仍然看不到如何将这个有问题的defaultsDeep函数用于易受攻击的网站。
PS,我完全知道这个问题可能被认为太笼统了。但是我面对其他团队的阻力,无法升级我们的lodash版本(因为我们已经升级了几次)。像安全漏洞这样的简单借口还不足以解决这些问题。我需要具体。因此是问题。
-----更新-----
我进一步检查Prototype Pollution report可能发生的攻击类型。但是我仍然感觉到,只有在我们使用nodejs且代码不够粗心以至于无法默认使用默认有效负载时,DOS才会发生。即使这样,它仍然不太可能发生。