探索lodash的一个安全漏洞

最新推荐文章于 2025-06-07 23:39:42 发布
最新推荐文章于 2025-06-07 23:39:42 发布
阅读量1.5k 收藏
点赞数
CC 4.0 BY-SA版权
原文链接:https://juejin.im/post/5c30abae51882525ec2000e9
博客详细探讨了在使用lodash库时遇到的高危安全漏洞——原型污染,并提供了深入的解决方案,包括如何避免此问题和最佳实践。

原文链接

近期打算准备重构我17年写的博客项目,打开项目看到了下图的一条安全漏洞的提示。

使用 lodash 这么多年,居然有高危漏洞,好奇心驱使我继续探索。

探索过程

What

在项目下执行:

- npm audit
复制代码

图中网站地址: www.npmjs.com/advisories/…]

图中 HackerOneReport 地址:hackerone.com/reports/310…

原来是原型污染。npm 网站上已经描述的很清楚了,是 'defaultsDeep'、'merge'、 'mergeWith' 三个函数在使用中可能会造成原型污染。

Why

尝试一把:

使用 ES6 assign 实现:

果然是有问题的。

How

相关补丁 commit: github.com/lodash/loda…

核心代码:

结论: 实现了一个 safeGet 的函数来避免获取原型上的值。

相关知识点

最佳实践

  • 尽量避免使用 for...in... 遍历对象

  • 遍历对象时先使用 Object.keys() 获取对象的所有 key,再进行遍历

  • 不要直接将一个未知变量作为对象的 key 使用

  • 在读取一个对象未知属性时,一定要使用 hasOwnProperty 判断之后再去读取

转载于:https://juejin.im/post/5c30abae51882525ec2000e9

前端领域中 Node.js 的安全漏洞扫描与修复
小白菜的博客
06-13 799
本文聚焦前端开发中 Node.js 项目的安全漏洞问题,覆盖依赖包漏洞扫描(如 lodash、axios 等常见库)、代码层面漏洞检测(如 SQL 注入、XSS)、修复策略(版本升级、补丁覆盖、替代方案)三大核心场景,帮助开发者建立从「扫描→分析→修复→验证」的完整安全闭环。本文将按照「漏洞是什么→如何发现漏洞→如何修复漏洞→如何预防漏洞」的逻辑展开,结合工具实操、代码案例和真实场景,让您既能理解原理,又能直接落地。依赖漏洞:第三方库中的「过期食材」,可能导致数据泄露、代码执行等风险。扫描工具:如。
最新前端安全——最新:lodash原型漏洞从发现到修复全过程_lodash 4
2401_84301853的博客
05-02 1966
又为用户输入的数据,那么,在调用时就会非常不安全了。lodash原型污染漏洞出现在版本以下,我们可以来看下,依赖源码出现漏洞的地方:结论: 实现了一个 safeGet 的函数来避免获取原型上的值。但是没有考虑到构造方法。
前端安全——最新:lodash原型漏洞从发现到修复全过程
热门推荐
qq_34761385的博客
03-18 2万+
人生的精彩就在于你永远不知道惊喜和意外谁先来,又是一个平平无奇的早晨,我收到了一份意外的惊喜——前端某项目出现lodash依赖原型污染漏洞。咋一听,很新奇。再仔细一看,呕吼,更加好奇了~然后就是了解和修补漏洞之旅。最后的最后,却发现其实这个漏洞修复起来很简单。但是我的整个过程却是充满曲折和离奇。特此记录一下。
Lodash 严重安全漏洞背后:你不得不知道的 JavaScript 知识
前端大全
07-16 731
(给前端大全加星标,提升前端技能)作者:Lucas HChttps://zhuanlan.zhihu.com/p/73186974可能有信息敏感的同学已经了解到:Loda...
Lodash 严重安全漏洞背后 你不得不知道的 JavaScript 知识
dichu2296的博客
07-22 248
摘要: 详解原型污染。 原文:Lodash 严重安全漏洞背后 你不得不知道的 JavaScript 知识 作者:Lucas HC Fundebug经授权转载,版权归原作者所有。 可能有信息敏感的同学已经了解到:Lodash 库爆出严重安全漏洞,波及 400万+ 项目。这个漏洞使得 lodash “连夜”发版以解决潜在问题,并强烈建议开发者升级版本。 我们在忙着“看热闹”或者“”升级版...
最新:Lodash 严重安全漏洞背后你不得不知道的 JavaScript 知识
qq_53058639的博客
01-04 1468
通过分析 lodash漏洞,以及解决方案,我们了解了原型污染的方方面面。Object 原型原型、原型链NodeJS 相关问题Object.create 方法Object.freeze 方法Map 数据结构深拷贝以及其他问题这么来看,全是基础知识。也正是基础,构成了前端知识体系的方方面面。这篇文章灵感来源于我们的群中的相关讨论:这是一个什么群呢?咳咳。。。前端开发核心知识进阶。
Lodash深拷贝剖析】:优化库函数使用与避免陷阱的技巧
![【Lodash深拷贝剖析】:优化库函数使用与避免陷阱的技巧](https://opengraph.githubassets.com/788f1b03c135583cb543c490c51c1627b426ae3fcf4a2a313b64ad9a0e18a44d/lodash/lodash) ...Lodash一个广
掌握JavaScript:探索Javascript项目实战
11. **安全性**: JavaScript项目的开发者需要关注代码的安全性问题,避免常见的安全漏洞,如跨站脚本攻击(XSS)、跨站请求伪造(CSRF)等。 12. **社区与资源**: JavaScript拥有一个庞大的开发者社区,这为项目...
探索JavaScript中的P38技术应用
9. 浏览器兼容性和安全:了解不同浏览器对JavaScript的支持情况,以及如何编写安全的代码防止常见的安全漏洞。 假设"P38"是某个项目或工具的名称,而这个项目或工具涉及JavaScript开发,那么上述知识点将可能成为该...
JavaScript库的探索与应用
2. 安全隐患:如果库的维护不及时,可能会引入安全漏洞。 3. 版本管理:在项目中引入多个库可能会导致版本冲突。 4. 学习曲线:对于新手而言,理解并正确使用复杂的库可能需要额外的学习时间。 在JavaScript的库中...
Lodash原型污染漏洞原理详解
最新发布
ericalezl的博客
06-07 2208
JavaScript是一种基于原型的语言,每个对象都有一个原型对象,对象以其原型为模板,从原型继承方法和属性。原型对象也可能拥有原型,并从中继承方法和属性,这种关系被称为原型链。在这个例子中,p1是Person构造函数的一个实例,它拥有name和age属性,同时还有一个__proto__属性指向。原型污染是指攻击者通过某种手段修改JavaScript对象的原型(通常是),从而影响所有基于该原型的对象的行为。在Lodash的案例中,某些函数(如)未能正确处理特殊属性(如和__proto__
【5天打卡】学习Lodash的第四天——安全漏洞学习
happy921212的博客
04-27 2147
避免原型污染有以下几种方法,JQuery的安全漏洞了解,Lodash安全漏洞等……
漏洞扫描显示lodash版本低于v4.17.10,已经升级了lodash但是还是显示版本过低
weixin_43878758的博客
12-11 2456
然后安装async: 如果升级了父依赖,影响到了程序运行,则可以尝试强制替换其子依赖,需要在package.json的最后配置如下代码。需要npm>=8.x,并且需要提前安装 force-resolutions。 检查项目的node_modules、以及项目中是否有直接引用lodash.js 全局搜索项目文件夹,查看是直接有lodash.js文件,如果有,点进去修改其版本号。
2024年最新前端安全——最新:lodash原型漏洞从发现到修复全过程_lodash 4,2024年最新字节大牛教你手撕网络安全学习
2401_84301352的博客
05-06 2323
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
AWVS中lodash漏洞如何验证,从零基础到精通,收藏这篇就够了!
leah126的博客
04-12 1348
Lodash 漏洞验证,看似简单,实则水很深。别只满足于 AWVS 的报告,动手验证,才能真正掌握漏洞,提升自己的安全技能!记住,安全攻城狮,就是要“盘”漏洞,盘到它服为止!
GitHub安全告警检测出了400多万个漏洞
cpongo5
03-28 208
\看新闻很累?看技术新闻更累?试试下载InfoQ手机客户端,每天上下班路上听新闻,有趣还有料!\\\据GitHub介绍,去年十月推出的安全告警极大地减少了开发人员消除Ruby和JavaScript项目漏洞的时间。\\当检测到他们的库中有公共漏洞列表上列出的库漏洞时,GitHub安全告警就会通知库管理员。这对他们而言是一个重要的提醒,他们可以快速反应,修复漏洞,消除有漏洞的依赖或者转到安全版本。\\...
你的网站正在裸奔?Lodash原型链污染漏洞引发的“全员恶人“事件
weixin_43172311的博客
03-29 1515
记住:‌你的代码不是法外之地!即使你觉得自己在写业务代码,黑客可能已经在用你的漏洞挖矿了。“程序员和犯罪之间,只差一个未升级的lodash” —— 鲁迅(没说过)‌[立即行动]‌ 检查你的package.json,别让明天的你对着服务器日志哭!💻🔍。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值