探索lodash的一个安全漏洞

原文链接

近期打算准备重构我17年写的博客项目,打开项目看到了下图的一条安全漏洞的提示。

lodash-1 lodash-2

使用 lodash 这么多年,居然有高危漏洞,好奇心驱使我继续探索。

探索过程

What

在项目下执行:

- npm audit
复制代码
lodash-3

图中网站地址: www.npmjs.com/advisories/…]

lodash-4

图中 HackerOneReport 地址:hackerone.com/reports/310…

原来是原型污染。npm 网站上已经描述的很清楚了,是 'defaultsDeep'、'merge'、 'mergeWith' 三个函数在使用中可能会造成原型污染。

Why

尝试一把:

lodash-5 lodash-6

使用 ES6 assign 实现:

lodash-7

果然是有问题的。

How

相关补丁 commit: github.com/lodash/loda…

核心代码:

lodash-8

结论: 实现了一个 safeGet 的函数来避免获取原型上的值。

相关知识点

最佳实践

  • 尽量避免使用 for...in... 遍历对象

  • 遍历对象时先使用 Object.keys() 获取对象的所有 key,再进行遍历

  • 不要直接将一个未知变量作为对象的 key 使用

  • 在读取一个对象未知属性时,一定要使用 hasOwnProperty 判断之后再去读取

分类:
前端