rototype pollution - czyli jak zatruć aplikację XSS-em
O podatności prototype pollution w świecie JS wiadomo już od wielu lat... do tej pory była ona traktowana jednak po macoszemu - wydawało
się, że większość przypadków jej wystąpienia nie jest praktycznie exploitowalna. Wszystko zaczęło się zmieniać w ostatnich dwóch latach,
gdy rozpoczęto szersze badania na temat jej wykorzystania nie tylko w NodeJS, ale w świecie frontendu. Okazało się, że wiele bibliotek pozwala
na zatrucie prototypów - i w efekcie na nieoczekiwany wpływ na przepływ sterowania aplikacją. A to wszystko kończy się dużą liczbą XSS-ów!
Na prezentacji opowiem ogólnie czym jest prototype pollution, a także pokażę w jaki sposób podatność może objawić się w aplikacji, i dlaczego może prowadzić do XSS-a.