原型污染仅可在后端利用吗?
原型污染仅可在后端利用吗?
提问于 2019-08-20 23:12:36
我收到了一个Jira,因为一个安全扫描要求更新CVE-2019-10744的存档,这是一个原型污染漏洞。在阅读了这篇优秀的论文关于原型污染的文章之后,在我看来,这只是在后端运行JavaScript时才会出现的问题。
由于我们只在客户端使用JavaScript,因此剥夺这个特定类的漏洞是否合理?或者可以利用客户端作为其他类型攻击的载体,比如xss?更普遍地说,是否有可靠的方法来判断前端和后端存在哪些JavaScript漏洞是问题的?
回答 2
Security用户
发布于 2019-08-21 04:05:20
大多数扫描都报告服务/应用程序上的漏洞,它不知道您是否或如何使用它。只有您知道威胁级别对您的实际环境是否正确。
这就是说。我会修补最新的版本,始终,无论如何,作为良好的做法。坏的角色可以利用,即使不是今天,所以如果可能的话,就让它不受上述漏洞的影响。如果不存在修补程序,也可以查看其他适当的缓解控制。
Security用户
发布于 2019-08-21 05:39:27
原型污染是一个复杂的脆弱性。仅仅因为它的客户端并不意味着它没有在那里执行一些重要的应用程序逻辑。了解应用程序如何处理Javascript,而不是查看是否可以在某个地方使用该漏洞。
它的修复在Jquery的core.js文件中非常简单,而不是
if ( target === copy ) {使用
if ( name === "__proto__" || target === copy ) {https://github.com/jquery/jquery/commit/753d591aea698e57d6db58c9f722cd0808619b1b
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/215651
复制相关文章
相似问题
腾讯云开发者
