本文详细介绍了jQuery跨站脚本漏洞,包括漏洞概述、风险等级、影响版本及漏洞危害。指出jQuery在过滤用户输入时存在的正则表达式缺陷可能导致安全问题,允许攻击者注入任意HTML或执行客户端代码。提供了修复建议,建议关注厂商主页获取最新补丁。
0x00 概述
漏洞名称:jQuery跨站脚本
风险等级:低危
问题类型:使用已知漏洞的组件
0x01 漏洞描述
关于jQuery:jQuery是美国程序员John Resig所研发的一套开源、跨浏览器的JavaScript库。该库简化了HTML与JavaScript之间的操作,并具有模块化、插件扩展等特点。
漏洞原理:jQuery中过滤用户输入数据所使用的正则表达式存在缺陷,可能导致 location.hash跨站漏洞
影响版本:
jquery-1.7.1~1.8.3
jquery-1.6.min.js,jquery-1.6.1.min.js,jquery-1.6.2.min.js
jquery-1.2~1.5
0x02 漏洞危害
jQuery 1.4.2版本中,远程攻击者可利用该漏洞向页面中注入任意的HTML。
jQuery 1.6.3之前版本中,当使用location.hash选择元素时,通过特制的标签,远程攻击者利用该漏洞注入任意web脚本或HTML。
jQuery 3.0.0之前版本中,攻击者可利用该漏洞执行客户端代码。
0x03 修复建议
目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:https://jquery.com/
更多信息欢迎关注我的个人微信公众号:TeamsSix
原文地址:
最低0.47元/天 解锁文章
扫一扫
2266
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
