Apa itu serangan polusi prototipe di Node.js

Dengan meneliti modul-modul yang tersedia di npm, dimulai dari lodash, ditemukan bahwa banyak modul memiliki kerentanan polusi prototipe dan hal itu pun dilaporkan. Lalu, dengan memanfaatkan Ghost CMS yang benar-benar memiliki kerentanan tersebut, mereka bahkan berhasil membuat demo yang menjalankan aplikasi kalkulator di server dengan memanipulasi data yang diperlukan untuk permintaan reset kata sandi.

Dalam lingkungan eksekusi JavaScript, risiko terjadinya polusi prototipe sudah lama dibicarakan, tetapi tampaknya banyak yang tidak menyangka bahwa hal ini akan dimanfaatkan untuk menyerang server web di lingkungan Node.js.

Dokumen ini bertujuan untuk menjelaskan prinsip serangan tersebut, sekaligus sebagai catatan pribadi agar mudah diingat.