prototype汚染攻撃 - uki00a

prototype汚染攻撃

#Node.js #セキュリティ #Deno

DenoではデフォルトでObject.prototype.__proto__が削除されています。(--unstable-sloppy-importsでこの挙動は無効化可能)

パッケージ

JSON.parse() drop-in replacement with prototype poisoning protection

fastifyが利用している。

参考

JavaScript Prototype Poisoning Vulnerabilities in the Wild

JavaScriptのプロトタイプ汚染攻撃対策は難しい