This repository has been archived by the owner on Jan 19, 2023. It is now read-only.
Risiko durch Entpacken von json-strings in JS-Objekte #56
Assignees
Comments
Sign up for free
to subscribe to this conversation on GitHub.
Already have an account?
Sign in.
Problem:
@benbender sagt: Es ist möglich, wenn man nicht aufpasst, beim Entpacken von json-strings in JS-Objekte potenziell anderen Code zu überschreiben.
Das tun wir viel, aber spielt vmtl eine praktisch eher kleinere Rolle, weil die Hürde solche Daten ins System zu kriegen nicht ganz klein und der Benefit, den man als Angreifer erreichen kann, nicht sonderlich attraktiv ist. Aber dennoch sollte es dafür eine Mitigation geben.
Referenz:
https://medium.com/intrinsic-blog/javascript-prototype-poisoning-vulnerabilities-in-the-wild-7bc15347c96
Mitigation:
https://github.com/unjs/destr
The text was updated successfully, but these errors were encountered: