Logo Crossweb

Logowanie

Nie masz konta? Zapomniałem hasła

Przypomnij hasło

close Wypełnij formularz.
Na Twój adres e-mail zostanie wysłane link umożliwiający zmianę hasła.
Wyślij
<< przejdź do listy wideo

rototype pollution - czyli jak zatruć aplikację XSS-em

26.11.2021
Cykl:   Oh My Hack

O podatności prototype pollution w świecie JS wiadomo już od wielu lat... do tej pory była ona traktowana jednak po macoszemu - wydawało

się, że większość przypadków jej wystąpienia nie jest praktycznie exploitowalna. Wszystko zaczęło się zmieniać w ostatnich dwóch latach,

gdy rozpoczęto szersze badania na temat jej wykorzystania nie tylko w NodeJS, ale w świecie frontendu. Okazało się, że wiele bibliotek pozwala

na zatrucie prototypów - i w efekcie na nieoczekiwany wpływ na przepływ sterowania aplikacją. A to wszystko kończy się dużą liczbą XSS-ów!


Na prezentacji opowiem ogólnie czym jest prototype pollution, a także pokażę w jaki sposób podatność może objawić się w aplikacji, i dlaczego może prowadzić do XSS-a.

Podobne wydarzenia