前端安全——最新，网络安全学习路线_前端逆向安全测试

人生的精彩就在于你永远不知道惊喜和意外谁先来，又是一个平平无奇的早晨，我收到了一份意外的惊喜——前端某项目出现lodash依赖原型污染漏洞。咋一听，很新奇。再仔细一看，呕吼，更加好奇了~然后就是了解和修补漏洞之旅。

最后的最后，却发现其实这个漏洞修复起来很简单。但是我的整个过程却是充满曲折和离奇。特此记录一下。

1. 漏洞复现

现在很多系统的前端都是基于vue和react框架的，所以就肯定少不了引入各种依赖了额，而lodash
作为一款非常流行的npm库,每月的下载量超过8000万次。可以说是使用的十分广泛了。所以可以想象，当lodash这个漏洞出现时，标志着有多少项目会存在被攻击的风险。而检测的方法也很简单，在你的前端控制台，输入下面代码。

const payload = ‘{“constructor”: {“prototype”: {“lodash”: true}}}’
_.defaultsDeep({}, JSON.parse(payload))
if({}.lodash === true){ alert(“Bad news