Lodashのプロトタイプ汚染攻撃の脆弱性に対処する方法？

これらは1つにまとめられたいくつかの質問なので、それぞれに個別に回答してみましょう。

プロトタイプ汚染とは何ですか？攻撃者はそれをどのように使用できますか？

JavaScriptに関する知識がどれほどあるかわからないので、できる限り一般的なものにしようと思います。 JavaScriptはプロトタイプを広範囲に使用してオブジェクトの継承を実装します。基本的に、プロトタイプに書き込んだものはすべてオブジェクトインスタンスになります。 Mozillaのドキュメント は、これよりもはるかによく説明します。

HackerOneのレポート によると、攻撃者が独自のデータをlodashに挿入できる場合、攻撃者は独自のコードをオブジェクトに追加できます。次のPoCはこれを示しています。

_var _= require('lodash');
var malicious_payload = '{"__proto__":{"oops":"It works !"}}';

var a = {};
console.log("Before : " + a.oops);
_.merge({}, JSON.parse(malicious_payload));
console.log("After : " + a.oops);
_

このコードを実行すると、直接書き込まれることがなくても、aが変更されていることがわかります。

それでは、これはアプリケーションにどのように影響しますか？まあ、これはあなたのコードに依存します。 「キャッチオール」な答えはありません。場合によっては、サービス拒否攻撃になることもあれば、リモートでコードが実行されることもあります。

たとえば、関数toString()をリテラル文字列に置き換えることができます。文字列を呼び出そうとするとエラーが発生し、サービス拒否につながります。

大規模なアプリケーションは脆弱なパッケージにどのように対処できますか？

Lodashバージョンをできるだけ早く更新するか、手動のバックポートパッチを自分で適用してください。簡単ではないかもしれませんが、絶対に必要です。

アプリケーションがユーザー入力を処理するnever場合、更新をできるだけ遅らせることができますが、優先度リストではかなり高いはずです。