【漏洞笔记】jQuery跨站脚本


0x00 概述

漏洞名称:jQuery跨站脚本

风险等级:低危

问题类型:使用已知漏洞的组件

0x01 漏洞描述

关于jQuery:jQuery是美国程序员John Resig所研发的一套开源、跨浏览器的JavaScript库。该库简化了HTML与JavaScript之间的操作,并具有模块化、插件扩展等特点。

漏洞原理:jQuery中过滤用户输入数据所使用的正则表达式存在缺陷,可能导致 location.hash跨站漏洞

影响版本:

jquery-1.7.1~1.8.3

jquery-1.6.min.js,jquery-1.6.1.min.js,jquery-1.6.2.min.js

jquery-1.2~1.5

0x02 漏洞危害

jQuery 1.4.2版本中,远程攻击者可利用该漏洞向页面中注入任意的HTML。

jQuery 1.6.3之前版本中,当使用location.hash选择元素时,通过特制的标签,远程攻击者利用该漏洞注入任意web脚本或HTML。

jQuery 3.0.0之前版本中,攻击者可利用该漏洞执行客户端代码。

0x03 修复建议

目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:https://jquery.com/

更多信息欢迎关注我的个人微信公众号:TeamsSix
参考文章:
http://www.word666.com/wangluo/121052.html
https://blog.csdn.net/qq_36119192/article/details/89811603
https://www.cnblogs.com/security4399/archive/2013/03/13/2958502.html
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201801-582
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201801-798


文章作者: Teams Six
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 Teams Six !
评论
 上一篇
【漏洞笔记】基于HTTP连接的登录请求 【漏洞笔记】基于HTTP连接的登录请求
0x00 概述漏洞名称:基于HTTP连接的登录请求 风险等级:低 问题类型:信息泄露 0x01 漏洞描述应用程序使用HTTP连接接受客户端的登录请求,如果登录请求数据没有加密处理,有可能被攻击者嗅探到客户提交的请求数据,请求数据中一般包含用
2019-11-21
下一篇 
【漏洞笔记】X-Frame-Options Header未配置 【漏洞笔记】X-Frame-Options Header未配置
0x00 概述漏洞名称:X-Frame-Options Header未配置 风险等级:低危 问题类型:管理员设置问题 0x01 漏洞描述X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在<忽略fram
2019-11-19
  目录