Tấn công ô nhiễm nguyên mẫu trong Node.js là gì
(blog.coderifleman.com)Tác giả đã khảo sát các mô-đun có thể tải về từ npm, bắt đầu từ lodash, và phát hiện rồi báo cáo lỗ hổng ô nhiễm nguyên mẫu trong nhiều mô-đun. Sau đó, bằng cách sử dụng Ghost CMS thực sự có lỗ hổng, tác giả còn thành công trong việc trình diễn sửa đổi dữ liệu cần thiết cho yêu cầu đặt lại mật khẩu để chạy ứng dụng máy tính trên máy chủ.
Trong môi trường thực thi JavaScript, nguy cơ phát sinh ô nhiễm nguyên mẫu đã được nhắc đến từ lâu, nhưng có lẽ ít ai nghĩ rằng nó sẽ được tận dụng để tấn công máy chủ web trong môi trường Node.js.
Trong tài liệu này, tác giả muốn giải thích nguyên lý của cuộc tấn công này để bản thân cũng tiện ghi nhớ.
Chưa có bình luận nào.