ThisIsOne https://blog.hatena.ne.jp/ThisIsOne/ Shikata Ga Nai https://cysec148.hatenablog.com/ Web Security Academy Prototype pollution Hello there, ('ω')ノ 🧨 攻撃に使われる悪意あるJSON 攻撃者が以下のようなJSONを送信したとします： { "__proto__": { "evilProperty": "payload" } } 例えば、WebSocketのメッセージやAJAXリクエストなどでサーバやフロントエンドに送信されることがあります。 🤖 JavaScriptでどうなる？ これを JSON.parse() でパースすると： const objectFromJson = JSON.parse('{"__proto__": {"evilProperty": "payload"}}'); このとき o… 190 <iframe src="https://hatenablog-parts.com/embed?url=https%3A%2F%2Fcysec148.hatenablog.com%2Fentry%2F2025%2F09%2F17%2F060451" title="JSONによるPrototype Pollution（プロトタイプ汚染） - Shikata Ga Nai" class="embed-card embed-blogcard" scrolling="no" frameborder="0" style="display: block; width: 100%; height: 190px; max-width: 500px; margin: 10px 0px;"></iframe> Hatena Blog https://hatena.blog 2025-09-17 06:04:51 rich https://cysec148.hatenablog.com/entry/2025/09/17/060451 1.0 100%