POC详情: b94a48f078fd58c0d101bf3beca6d763ed355297

来源
https://github.com/n8tz/CVE-2022-24999
关联漏洞
标题: qs 安全漏洞 (CVE-2022-24999)
描述:ljharb qs是美国Jordan Harband个人开发者的一个具有嵌套支持的查询字符串解析器。 qs 6.10.3 之前版本存在安全漏洞,该漏洞源于parse忽略__proto__键,攻击者利用该漏洞可以将攻击载荷放在用于访问应用程序的 URL 的查询字符串中。
描述
"qs" prototype poisoning vulnerability ( CVE-2022-24999 )
文件快照

 [4.0K]  /data/pocs/b94a48f078fd58c0d101bf3beca6d763ed355297
├── [4.0K]  express-qs-array-bomb
│   ├── [ 500]  package.json
│   ├── [ 35K]  package-lock.json
│   ├── [  29]  payload.test.txt
│   ├── [  72]  payload.txt
│   ├── [1.8K]  poc.js
│   └── [4.0K]  test
│       ├── [1.0K]  get.js
│       └── [1.0K]  post.js
├── [4.0K]  express-qs-string-bomb
│   ├── [ 473]  package.json
│   ├── [ 35K]  package-lock.json
│   ├── [  17]  payload.test.txt
│   ├── [  72]  payload.txt
│   ├── [1.5K]  poc.js
│   └── [4.0K]  test
│       ├── [1.0K]  get.js
│       └── [1.0K]  post.js
├── [4.0K]  qs-vulns
│   ├── [ 997]  arrayBomb.js
│   ├── [1004]  arrayWithJson.js
│   ├── [ 403]  badBoolean.js
│   ├── [ 799]  ghostValues.js
│   ├── [ 404]  package.json
│   ├── [5.9K]  package-lock.json
│   ├── [ 351]  readme.md
│   └── [ 808]  stringBomb.js
└── [1.9K]  readme.md

5 directories, 23 files
神龙机器人已为您缓存
备注
    1. 建议优先通过来源进行访问。
    2. 如果因为来源失效或无法访问,请发送邮箱到 f.jinxu#gmail.com 索取本地快照(把 # 换成 @)。
    3. 神龙已为您对POC代码进行快照,为了长期维护,请考虑为本地POC付费,感谢您的支持。