Qu’est-ce qu’une attaque de pollution de prototype dans Node.js ?

En examinant des modules disponibles sur npm, l’auteur a découvert et signalé des vulnérabilités de pollution de prototype dans de nombreux modules, à commencer par lodash. Il est même parvenu à réaliser une démonstration avec Ghost CMS, qui présentait une vulnérabilité réelle, en falsifiant les données nécessaires à une demande de réinitialisation de mot de passe afin d’exécuter une application de calculatrice sur le serveur.

Le risque d’apparition de pollution de prototype dans l’environnement d’exécution JavaScript est évoqué depuis longtemps, mais peu de gens imaginaient sans doute que cela pourrait être exploité pour attaquer des serveurs web dans un environnement Node.js.

Dans ce document, l’auteur souhaite expliquer le principe de cette attaque, aussi pour s’en souvenir à titre personnel.