Node.js生态系统的隐藏属性滥用攻击

完整性：发现了 10 个已识别的漏洞（即 HP-4、HP-5、HP-6、HP-7、HP-8、HP-9、HP-10、HP-11、HP-12 和 HP- 13) 损害 Node.js 应用程序的完整性。 Jpv（HP-5 和 HP-6）检查其原型上不安全对象的类型。但是，由于 HPA 可以修改原型中的属性，因此可以操纵 jpv 的验证结果。 其他三个验证绕过漏洞来自 valib 的一个 API（HP-6）和模式检查器的两个 API（HP-7 和 HP-8）：通过修改不安全对象原型下的hasOwnProperty 函数，可以跳过安全检查。