Vulnerable Javascript library漏洞记录

最新推荐文章于 2024-05-14 05:04:07 发布
最新推荐文章于 2024-05-14 05:04:07 发布
阅读量842 收藏
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/NLstudy33/article/details/133312872
版权
本文记录了在安全扫描中发现的Vulnerable Javascript library漏洞,具体为jQuery的XSS漏洞CVE-2020-11022和CVE-2020-11023。通过提供HTML payload,详细解释了如何验证这些漏洞,并给出了两种修复方法:升级到jQuery 3.5.0以上版本或使用XSS清理工具。
摘要由CSDN通过智能技术生成

AWVS扫出来Vulnerable Javascript library漏洞,然后查询资料,验证漏洞,仅做记录。

参考:

jQuery-XSS漏洞(CVE-2020-11022/CVE-2020-11023)

一开始没看懂怎么操作,后面明白了

payload复制本地保存一份html,然后替换AWVS扫描出来的src,重新网页打开即可验证。

payload:

<!DOCTYPE html>
<html>
<head>
    <meta charset="utf-8">
    <title>jQuery XSS Examples (CVE-2020-11022/CVE-2020-11023)</title>
    <script src="js地址"></script>
</head>
<body>
<script>
function test(n,jq){
    sanitizedHTML = document.getElementById('poc'+n).innerHTML;
    if(jq){
        $('#div').html(sanitizedHTML);
    }else{
        div.innerHTML=sanitizedHTML;
    }
}
</script>
<h1>jQuery XSS Ex

最低0.47元/天 解锁文章
NLstudy33
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Jquery XSS漏洞(CVE-2020-11023)
jammny
02-04 7106
漏洞详情 针对CVE-2020-11022漏洞,jQuery Team进行了修复。修复手段为将$.htmlPrefilter()方法替换为标识函数,因此传递的HTML字符串现在不再经过htmlPrefilter函数处理。但是这个修复方法仍有一些手段可以绕过,CVE-2020-11023就是针对CVE-2020-11022的绕过。 漏洞影响 V 1.2.0 <= jquery < V 3.5.0 漏洞详情 绕过使用的是另一个特性,某些特殊的标签在经过html()方法处理时,会由于HTML
记录一个等保二的项目的漏洞处理
Admans的专栏
07-07 1962
Clickjacking是一种恶意技术,它诱骗 Web 用户点击与用户认为他们正在点击的内容不同的东西,从而可能泄露机密信息或控制他们的计算机,同时 点击看似无害的网页。此外,当用于保护传入或传出网站的敏感信息时,TLS 1.0 不被视为 PCI 数据安全标准 3.2(.1) 定义和要求的“强加密”。Visual Studio 使用此标头的值来确定正在使用的 ASP.NET 版本。找到网站根目录下的Web.config文件,用记事本打开,将 debug 属性更改为 false 以禁用该应用程序的调试。
is-website-vulnerable:在网站的前端JavaScript库中查找公开的安全漏洞
02-04
网站易受攻击 在网站的前端JavaScript库中发现公开的安全漏洞 非常感谢 用于支持开源安全性 关于 在网站的前端JavaScript库中查找公开的安全漏洞。 用法 命令行 使用Node.js的npx对网站进行一次性扫描: npx is-website-vulnerable https://example.com [--json] [--js-lib] [--mobile | --desktop] [--chromePath] [--cookie] [--token] CLI会提示您输入要输入的URL,从而妥善处理缺少要扫描的URL的情况: $ npx is-website-vul
Vulnerable Javascript library
笑到世界都狼狈的博客
06-25 1万+
首先说明一下,这个问题的由来:源于我们开发的项目送去上海检测,结果送检没通过,被打回来了,返回的结果有这么一条:Vulnerable Javascript library 然后字面翻译就是"脆弱的js",对于小白的我来说,从来没遇到过这个问题,然后就赶紧百度,百度返回的结果是---------js插件库版本太低,升级就好了。 那么问题来了,项目中用到那么多插件,总不至于让我把所有的插件都升级一遍吧,这样可能会死人的。。。。。 接下来:我们部门做底层开发的同事安装了一下叫"nessus"的工具,帮我扫描
77% 的网站使用了至少有 1 个漏洞JavaScript
weixin_34088838的博客
04-05 1021
本文作者: Tim Kadlec 编译:胡子大哈 翻译原文:http://huziketang.com/blog/posts/detail?postId=58df725ba58c240ae35bb8dc 英文连接:77% of sites use at least one vulnerable JavaScript library...
Javascript框架库漏洞验证,劲爆
04-17 855
经常看到漏扫扫出来这个漏洞,查看了网上好多文章都没有正确的验证方法都在扯淡。今天我来点干货记录一下这个漏洞到底是怎么触发JS生成XSS的,也方便后面漏洞验证报告的书写。AWVS扫出来的JS框架库漏洞RSAS扫出来的JS框架库漏洞
数万网站仍在使用有已知漏洞的老旧 JavaScript
weixin_33691700的博客
06-02 925
美国东北大学研究人员在对超过 133000 个网站分析时发现,有超过 37% 的站点仍在使用至少包含一个已知公开漏洞JavaScript 库。研究人员早在 2014年进行研究时就曾提醒,应当注意由于在浏览器中加载老旧版本的 JavaScript 库(如 jQuery、AngularJS 框架)而导致的潜在安全风险。 正如他们在一篇新发表的论文...
JavaScript 工具库 Cloudgamer JavaScript Library v0.1 发布
10-29
研究了一年多的js,也差不多写一个自己的js库了。我写这个不算框架,只是一个小型的js工具库,所以我用的名字是Library
retire.js:扫描程序检测已知漏洞JavaScript库的使用
01-30
Retire.js您所需要的还必须退休在Web上以及在那里的Node.JS应用程序中都有大量JavaScript库。 这极大地简化了开发,但是我们需要保持最新的安全修补程序。 现在,“使用具有已知漏洞的组件”已成为安全风险列表的一...
vulnerable-hello-world
04-27
该项目是通过引导的。 您将在下面找到一些有关如何执行常见任务的信息。 您可以在找到本指南的最新版本。 目录 自动格式化代码 更改页面<title> 安装依赖项 导入组件 代码分割 添加样式表 ...met
Java Vulnerable Lab
07-05
java程序可使用的漏洞靶场包
常见web漏洞(awvs、nessus)验证方法小记-中危漏洞
weixin_43875708的博客
03-12 1万+
1.【中危】不安全Javascript库(Vulnerable Javascript library漏洞描述 SWFObject库 SWFObject是一个免费的开放源代码工具,用于在网站中嵌入swf内容,SWFObject在Internet Explorer中进行动态嵌入的方法,以使用更友好的W3C方式创建。网站正在使用易受攻击的Javascript库,此版本的Javascript库报告了...
安全生产:CVE-2020-11022/CVE-2020-11023漏洞解析
IT全栈 华强工作室
09-07 3684
代码安全扫描阶段,前端资源审计发现jQuery版本过低导致生产系统存在类风险。该类风险为应用安全缺陷类DXSS攻击,攻击者可以利用该漏洞注入恶意脚本代码,并在受害者的浏览器上执行。将导致受害者的个人信息泄露、账户被劫持、会话被劫持等安全问题。科运中心给出的解决方案是升级jQuery版本至3.5.0或更高版本。
记一次网安安全漏洞整改
weixin_30826095的博客
09-29 1499
这里网安使用的扫描软件是Acunetix,总共扫描出1个中等漏洞,2个低等漏洞,3个提示。 1.Medium,Vulnerable Javascript library易受攻击的javascript库 解决,升级到最新版本即可。 2.Low, OPTIONS method is enabled 允许options类型请求方式 解决方法:禁用不...
html创建scrpts方法,web安全扫描问题(常见的)分析以及解决方式
weixin_39745269的博客
06-16 340
这是我上午扫描的一个网站很多地方地方不懂 在网上查了严重问题有Session fixtion,vulnerable javascript library..1.什么是sessionfixation攻击Session fixation有人翻译成“Session完成攻击”,实际上fixation是确知和确定的意思,在此是指Web服务的会话ID是确知不变的,攻击者为受害着确定一个会话ID从而达到攻击...
2024年最全webstorm的安装及基本配置,2024最新物联网嵌入式开发高频精选面试题分享
最新发布
2401_85015025的博客
05-14 452
择“License server”,然后在输入框中输入 License server address 为:http://hb5.s.osidea.cc:1017(有可能不能用,自己可以百度搜一下最新的)点击”Activate”按钮。人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人**各种配置 可以根据自己的需求自行配置。7、开始基本配置 主要在。
Web安全-JQuery框架XSS漏洞浅析
热门推荐
道阻且长,行则将至。
01-23 1万+
文章目录框架简介漏洞简述漏洞检测漏洞复现漏洞分析漏洞复现修复建议新版漏洞漏洞复现漏洞原理修复方案漏洞验证 框架简介 jQuery是一个快速、简洁的JavaScript框架,是一个丰富的JavaScript代码库。jQuery设计的目的是为了写更少的代码,做更多的事情。它封装 JavaScript 常用的功能代码,提供一种简便的 JavaScript 设计模式,优化 HTML 文档操作、事件处理、动画设计和 Ajax 交互。 据一项调查报告,在对 433000 个网站的分析中发现,77%的网站至少使用了一个具
复现CVE-2020-11022/11023(jQuery XSS漏洞
记录并分享学习安全的知识点..
05-31 5928
警告 请勿使用本文提到的内容违反法律。 本文不提供任何担保 一、漏洞描述 由于执行了消毒(sanitize)处理,也仍会执行将来自不受信任来源的HTML传递给jQuery的DOM操作方法(即html()、.append()等),从而导致xss漏洞。 二、影响版本 大于或等于1.2且在3.5.0之前的jQuery版本中 三、漏洞复现 poc如下: <!DOCTYPE html> <html> <head> &lt...
vulnerable javascript libraries
04-07
“易受攻击的JavaScript库”。这是指在应用程序中使用的JavaScript库存在安全漏洞,这些漏洞可以被攻击者利用来攻击该应用程序。这些漏洞可能包括SQL注入、跨站点请求伪造(CSRF)等问题。因此,开发者需要定期更新、维护和修复这些库,以最大程度地保证应用程序的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值