前端安全——最新：lodash原型漏洞从发现到修复全过程_lodash 4(3)

写在最后

在结束之际，我想重申的是，学习并非如攀登险峻高峰，而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后，持之以恒的学习变得愈发不易，如同在茫茫大海中独自划舟，稍有松懈便可能被巨浪吞噬。然而，对于我们程序员而言，学习是生存之本，是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习，我们便如同逆水行舟，不进则退，终将被时代的洪流所淘汰。因此，不断汲取新知识，不仅是对自己的提升，更是对自己的一份珍贵投资。让我们不断磨砺自己，与时代共同进步，书写属于我们的辉煌篇章。

需要完整版PDF学习资源私我

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化资料的朋友，可以点击这里获取

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

最后的最后，却发现其实这个漏洞修复起来很简单。但是我的整个过程却是充满曲折和离奇。特此记录一下。

1. 漏洞复现

现在很多系统的前端都是基于vue和react框架的，所以就肯定少不了引入各种依赖了额，而lodash 作为一款非常流行的npm库,每月的下载量超过8000万次。可以说是使用的十分广泛了。所以可以想象，当lodash这个漏洞出现时，标志着有多少项目会存在被攻击的风险。而检测的方法也很简单，在你的前端控制台，输入下面代码。

const payload = '{"constructor": {"prototype": {"lodash": true}}}'
_.defaultsDeep({}, JSON.parse(payload))
if({}.lodash === true){ alert("Bad news :(\nYou're (still) vulnerable to Prototype Pollution") } else { alert("All Good! :)\nYou're NOT vulnerable (anymore) to Prototype Pollution") }

如果出现如下弹窗，就说明没有漏洞。lodash版本是最新的，已经把漏洞修复了。如果不是，那么恭喜你，中奖了~继续往下看吧。

2. 漏洞原理解析

通俗来讲：攻击者可以通过 Lodash 的函数覆盖或污染JavaScript 对象的原型（prototype）

例如：通过 **Lodash**库中的函数 defaultsDeep 可以修改 Object.prototype 的属性。JavaScript 在读取对象中的某个属性时，如果查找不到就会去其原型链上查找。试想一下，如果被修改的属性是 toString 方法，例如：

const payload = '{"constructor": {"prototype": {"toString": true}}}'

_.defaultsDeep({}, JSON.parse(payload)) 

payload又为用户输入的数据，那么，在调用Object.prototype.toString 时就会非常不安全了。

lodash原型污染漏洞出现在Lodash:4.17.12版本以下，我们可以来看下，依赖源码出现漏洞的地方：

结论： 实现了一个 safeGet 的函数来避免获取原型上的值。但是没有考虑到构造方法constructor的情况，因此，在lodash“连夜”发版修复方法：

3. 修复漏洞

在理解了漏洞如何出现的情况下，下面我们要做的就是修复漏洞了。到这里，有些人可能就明白了，既然原型污染漏洞是由于lodash版本过低导致的，那我直接将package.json中lodash版本库改为最新的4.17.21不就行了。别急，下面我们循序渐进，由浅入深的理解并修复这个漏洞。

tips:以下操作前请做好项目备份

3.1 直接版本升级解决

假如你的项目很简单，并且package.json也很直观的显示了引入的lodash版本低于4.17.12，那么大概率直接修改版本就解决了。如果修改解决不了，可以试试修改版本号后。

删除node_modules和package-lock.json,重新npm install一下

3.2 子依赖lodash问题解决

上面的情况是最好的情况，也是最简单的情况，但是实际上，我们遇到的问题可能比这个复杂的多。因为lz发现，本地前端项目package.json根本就没有引入lodash依赖。

这种情况下，上面那种方法就很明显行不通了，版本都没引入更遑论改版本了，那么，问题来了。既然没有引入lodash.js，那么**_.defaultsDeep方法又是哪来的呢。经过我的排查，终于发现，在package-lock.json文件下，显示了引入了多个不同版本的lodash，正如我前面所说，lodash 作为一款非常流行的npm库，提供了很多的方法。所以也是很多第三方库的子依赖。我不引用它，不代表第三方库不引用它。而且从全局搜索来看，引入的地方还挺多。因此也没法一个个改。经过学习了解，发现可以通过resolutions**指定子依赖版本。

在 npm 中，resolutions 字段通常用于解决依赖版本冲突的问题。当你使用 resolutions 字段时，你可以强制指定某个依赖包的版本，以确保项目中使用的依赖包版本符合你的要求。

{
  "name": "my-project",
  "version": "1.0.0",
   "scripts": {
        "serve": "vue-cli-service serve",
        "build": "vue-cli-service build",
        "preinstall": "npx force-resolutions"
    },
  "dependencies": {
    "element-ui": "^2.15.8",
  },
  "resolutions": {
        "lodash": "4.17.21"
    },


**先自我介绍一下，小编浙江大学毕业，去过华为、字节跳动等大厂，目前阿里P7**

**深知大多数程序员，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！**

**因此收集整理了一份《2024年最新网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。**
![img](https://img-blog.csdnimg.cn/img_convert/0bbca4581dff28d6e4ec5c8e97f66742.png)
![img](https://img-blog.csdnimg.cn/img_convert/fbab1391fc5fa17427901a474484f249.png)
![img](https://img-blog.csdnimg.cn/img_convert/addea028494800910d56c768f2169d22.png)
![img](https://img-blog.csdnimg.cn/img_convert/37572b49ac7e4dce7e2012b8514cde09.png)
![img](https://img-blog.csdnimg.cn/img_convert/c67035120dd7f7ddbb1cf577c8366db7.png)
![img](https://img-blog.csdnimg.cn/img_convert/25ca2895aae28d70921d2c7ca0a9266a.png)

**既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，涵盖了95%以上网络安全知识点，真正体系化！**

**由于文件比较多，这里只是将部分目录截图出来，全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频，并且后续会持续更新**

**[需要这份系统化资料的朋友，可以点击这里获取](https://bbs.csdn.net/forums/4f45ff00ff254613a03fab5e56a57acb)**

件比较多，这里只是将部分目录截图出来，全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频，并且后续会持续更新**

**[需要这份系统化资料的朋友，可以点击这里获取](https://bbs.csdn.net/forums/4f45ff00ff254613a03fab5e56a57acb)**