解决jquery版本过低引发的XSS跨站安全漏洞

最新推荐文章于 2024-07-26 17:39:18 发布
最新推荐文章于 2024-07-26 17:39:18 发布
阅读量1.4w 收藏 18
点赞数 5
分类专栏: 项目
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kang1011/article/details/109682718
版权

解决jquery版本过低引发的安全漏洞

在这里插入图片描述
测试网站是否存在此XSS跨站漏洞:
以google浏览器为例,打开要测试的网站,在Console窗口输入:

$.fn.jquery
回车查看版本号

$(“element[attribute=’<img src=123123 οnerrοr=alert(123)>’”);
回车之后会出现弹窗,说明存在XSS跨站漏洞

在这里插入图片描述
在这里插入图片描述
漏洞原因:

1.x系列版本等于或低于1.12的jQuery,和2.x系列版本等于或低于2.2的jQuery,过滤用户输入数据所使用的正则表达式存在缺陷,可能导致LOCATION.HASH跨站漏洞。

修复建议:

1、升级版本:

其实这是最好与最简单的修复方式,但是最新版的jquery不兼容旧版本,很多的api被废除了,所以如果升级到最新版的话,容易崩,还有个方式就是jquery团队推出的一个插件migrate。具体使用方法自行去jquery查询

2、隐藏版本号

这个方法其实挺苟的,就是让扫描器无法识别该js版本号,操作方法就是将jquery文件头部带版本号的注释删除,并将文件内的版本号删除。不想删的可以改成最新的版本号:3.5.1

3:重写js方法

重写一些方法,或者把低版本的对应的方法替换成高版本

kangfu_521
关注
专栏目录
版本jQuery导致XSS Nuclei FUZZ POC
afei001
02-15 920
我记得以前用那些漏扫工具时时常会报一个低版本jQuery的安全问题,当时还不会验证。直到有一天,它托梦给我。我悟了。低版本jQuery导致XSS POC文件文末获取。
主机扫漏:jQuery 跨站脚本漏洞修复建议 | 升级tomcat服务解决Apache Tomcat 环境问题漏洞(CVE-2023-46589)【安装多个tomcat服务】
iOS逆向与安全
05-13 939
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:https://lists.apache.org/thread/0rqq6ktozqc42ro8hhxdmmdjm1k1tpxr。Apache Tomcat存在环境问题漏洞,该漏洞源于存在不正确的输入验证漏洞,可能会导致将单个请求视为多个请求,从而在反向代理后面出现请求走私。
XSS漏洞详解
最新发布
apple_74953689的博客
07-26 409
XSS类型存储型反射型DOM型触发过程黑客构造XSS脚本后正常用户访问携带XSS脚本的页面正常用户访问携带XSS脚本的URL正常用户访问携带XSS脚本的URL数据存储数据库URLURL谁来输出后端web应用程序后端web应用程序前端Javascript输出位置HTTP响应中HTTP响应中动态构造的DOM节点是否持久是否否W3C提出的CSP是一个HTTP头部,允许网站所有者定义哪些内容可以被加载到页面中。
jQuery 跨站脚本漏洞
weixin_30664051的博客
03-13 1109
漏洞名称: jQuery 跨站脚本漏洞 CNNVD编号: CNNVD-201303-203 发布时间: 2013-03-12 更新时间: 2013-03-12 危害等级: 漏洞类型: 跨站脚本 威胁类型: 远程 CVE编号: CVE-2011-4969 ...
JQuery跨站脚本漏洞
qq274575499的博客
04-02 2353
jQuery 3.4.0之前版本中存在跨站脚本漏洞,该漏洞源于WEB应用缺少对客户端数据的正确验证。攻击者可利用该漏洞执行客户端代码。
漏洞笔记】jQuery跨站脚本
TeamsSix 的 CSDN 空间
11-20 2080
0x00 概述 漏洞名称:jQuery跨站脚本 风险等级:低危 问题类型:使用已知漏洞的组件 0x01 漏洞描述 关于jQueryjQuery是美国程序员John Resig所研发的一套开源、跨浏览器的JavaScript库。该库简化了HTML与JavaScript之间的操作,并具有模块化、插件扩展等特点。 漏洞原理:jQuery中过滤用户输入数据所使用的正则表达式存在缺陷,可能导致 locat...
解决JSmol中的低版本JQuery带来的XSS漏洞
down_fly的博客
01-29 1330
解决JSmol自带的低版本JQuery带来的xss漏洞
jQuery-with-XSS 检测jQuery版本是否存在XSS漏洞
09-29
网站中包含大量的动态内容以提高用户体验,比过去要复杂得多。所谓动态内容,就是根据用户环境和需要,Web应用程序能够输出相应的内容。动态站点会受到一种名为“跨站脚本攻击”(Cross Site Scripting, 安全专家们通常将其缩写成XSS,原本应当是css,但为了和层叠样式表(Cascading Style Sheet,CSS )有所区分,故称XSS)的威胁,而静态站点则完全不受其影响。
跨站脚本攻击漏洞怎么修复_Drupal发布新版,修补jQuery与Symfony的跨站脚本攻击漏洞...
weixin_39851918的博客
12-16 452
开源内容管理框架Drupal对其Drupal 7、Drupal 8.5以及Drupal 8.6发布新建置版本,以修补JavaScript函式库jQuery和网页应用程式框架Symfony中跨站脚本攻击(Cross-Site Scripting,XSS)漏洞等其他问题,Drupal官方建议网站管理员立即更新。由于jQuery官方在4月中时发布新版jQuery 3.4.0,并于文件提到,之前版本存在跨...
JQuery-XSS漏洞(CVE-2020-11022/CVE-2020-11023)漏洞复现】
热门推荐
一纸荒芜的博客
10-31 1万+
jquery-xss漏洞复现
jQuery XSS漏洞学习
weixin_43459870的博客
01-03 1万+
jQuery基础信息 jQuery简介 jQuery是一个快速、简洁的JavaScript框架,是一个丰富的JavaScript代码库。jQuery设计的目的是为了写更少的代码,做更多的事情。它封装JavaScript常用的功能代码,提供一种简便的JavaScript设计模式,优化HTML文档操作、事件处理、动画设计和Ajax交互。 jQuery是一个JavaScript UI框架,它为许多DOM...
安全漏洞XSS跨站脚本执行漏洞
zhen_hero的博客
03-27 809
            XSS跨站脚本执行漏洞 漏洞描述 渗透测试人员发现,在实时营销策略管理中的策略编码和策略名称中填入<imgsrc=xonerror='alert(document.cookie)';>发现会显示cookie,抓包发现EVENT_ID,EVENT_NAME两个字段存在xss漏洞漏洞建议 对所有用户提交内容进行可靠的输入验证,包括对...
XSS跨站脚本攻击漏洞修复方法
06-18
NULL 博文链接:https://gqsunrise.iteye.com/blog/2214704
javaweb配置xssproject,完美解决安全检测报XSS漏洞
01-14
java配置xssproject,文件包括配置步骤,需要的jar包,完整的xssproject类,并且提供的类解决了multipart/form-data类型的Request请求xss过滤问题
跨站脚本漏洞(XSS)示例
04-15
NULL 博文链接:https://songjianyong.iteye.com/blog/1754973
怎么用jquery发现因为jquery版本过低引发XSS跨站安全漏洞
06-08
jQuery中,由于早期版本的安全措施可能不完善,可能会存在一些历史漏洞,比如XSS跨站脚本攻击)风险。XSS漏洞通常是通过恶意注入脚本来获取用户的敏感信息或执行非授权操作。如果你怀疑遇到了由旧版本jQuery引起...
安全漏洞中的倚天剑——XSS跨站脚本攻击
qq_41734243的博客
05-14 2479
one、概念 XSS跨站脚本攻击(Cross-Site Scripting)就是网站将用户输入的内容输出到页面上,在这个过程中可能有恶意代码被浏览器执行,XSS属于被动式的攻击,因为其被动且不好利用,所以许多人常呼略其危害性。 XSS通常情况可以有两种解释就是它可以是一种攻击方式,或者是一种漏洞XSS其实叫CSS,但是由于和另一种网页技术——层叠样式表(Cascading Style Sheets)的缩写一样,为了防止混淆,所以把原本的CSS简称为XSS。 这一漏洞攻击在各种WEB应用安全漏洞中,一直.
jQuery <= 1.11.3 DomXSS漏洞
weixin_30872337的博客
06-28 2648
听团里说WordPress又爆跨站漏洞了:“XSS漏洞在Jetpack和二十五默认主题影响百万WordPress用户”,分析发现原来是jQuery版本的DOM XSS漏洞【错误#9521】。 11年dmethvin提交jQuery 1.6.1版本的Ticket#9521,其原因是由$() | jQuery()预选的CSS选择器在其他情况下可用于创建HTML元素,如果编码不当(事实上很...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值