*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担
当前,很多网站都会使用第三方特定JavaScript库的方式来增强网站的显示应用功能,通常情况下,这种嵌入到网站中的库可以方便直接地从第三方服务提供商的域中加载,实现对当前网站的优化和功能增强。然而,这种嵌入到很多网站中的第三方库往往会是一个致命的攻击面,可以导致嵌入网站更容易遭受一些潜在攻击。
本文披露了当前流行的第三方JavaScript库中的三个漏洞,鉴于这三个漏洞的严重性,可能会对嵌入这些流行库的数千家机构网站造成影响。
示例1 :datatables.net中的远程代码执行漏洞(RCE)
Datatables.net是一个专门提供表格HTML显示的免费库网站,其官网声称只要在你的网站中嵌入一个存储在cdn.datatables.net的.js或.css文件,就能实现表格HTML化显示。
也就是说,如果大量的互联网网站嵌入了这个存储在cdn.datatables.net的.js或.css文件作为网站资源库,那么,只要这两个资源库文件存在漏洞,那么相应的引用嵌入网站也就可能受到影响了。
以下面这个澳大利亚政府网站为例,它在其中就嵌入引用了存储在cdn.datatables.net的.js库文件- jquery.dataTables.min.js: