Qué es un ataque de contaminación de prototipos en Node.js
(blog.coderifleman.com)Investigaron módulos disponibles en npm y, comenzando por lodash, descubrieron y reportaron que muchos módulos tenían vulnerabilidades de contaminación de prototipos. Luego, usando Ghost CMS, que realmente tenía la vulnerabilidad, incluso lograron una demostración en la que manipularon los datos necesarios para una solicitud de restablecimiento de contraseña y ejecutaron una aplicación de calculadora en el servidor.
Desde hace mucho tiempo se ha hablado del riesgo de que ocurra contaminación de prototipos en entornos de ejecución de JavaScript, pero probablemente pocos imaginaron que esto se usaría para atacar servidores web en un entorno Node.js.
En este documento, también como recordatorio personal, quiero explicar el principio detrás de este ataque.
Aún no hay comentarios.