JQUERY:对象原型污染漏洞(Object Prototype Pollution Vulnerability)

最新推荐文章于 2024-04-02 15:55:50 发布
最新推荐文章于 2024-04-02 15:55:50 发布
阅读量1.4k 收藏
点赞数 1
分类专栏: 前端 文章标签: Jquery 原型污染 漏洞 bug
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014252222/article/details/89511797
版权

背景

研究人员发现了jQuery(一个JavaScript库)中的对象原型污染漏洞(CVE-2019-11358)。

JavaScript对象就像一个变量,但它们不是存储一个值(var car =“Fiat”),而是可以包含基于预定义结构的多个值(var car = {type:“Fiat”,model:“500”,color: “白色”})。原型用于定义对象的默认结构和默认值;必须指定预期的结构,特别是在没有设置值时。

此漏洞使攻击者能够修改Web应用程序的JavaScript对象原型。但是,必须针对特定目标单独微调每个原型目标数据,因此要求攻击者深入了解每个Web应用程序的工作方式。

影响

成功利用此漏洞可能会导致Web应用程序崩溃或改变其行为,如果它未收到预期值,从而影响应用程序处理的其余数据。它还使攻击者能够发起其他攻击,例如拒绝服务或代码执行。原型污染攻击并不是新的,并且多年前就已记录在案。然而,它们现在才被彻底编录,因为JavaScript作为一种语言,已经从处理基本的UI交互演变为使用大量敏感数据作为服务器端编程语言,这多亏了Node.js项目。

建议

v3.4.0之前的jQuery版本受到影响。建议Web开发人员将他们的应用程序更新到最新的jQuery版本。

支持刘强东
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JavaScript_prototype_pollution_attack_in_NodeJS.pdf
02-01
高清版JavaScript_prototype_pollution_attack_in_NodeJS.pdf电子书,欢迎下载,或者您不想下载也可以去我的博客主页加群获取。
jQuery 的“原型污染”安全漏洞
weixin_33946605的博客
04-22 420
百度智能云·域名服务,.com新用户首购仅需25元 前两周发布的 jQuery 3.4.0 除了常规更新外,更...
JQuery跨站脚本漏洞
最新发布
qq274575499的博客
04-02 848
jQuery 3.4.0之前版本中存在跨站脚本漏洞,该漏洞源于WEB应用缺少对客户端数据的正确验证。攻击者可利用该漏洞执行客户端代码。
JavaScript Prototype污染攻击
蚁景网安学院
10-08 582
0x00 正文想了解什么是JavaScript可到合天网安实验室学习实验——Javascript基础,学习DOM操作和BOM操作,扫描下方二维码或点击文末“阅读原文”开始学习。原型原型...
渗透攻击漏洞——原型污染
qq_44640313的博客
10-24 627
简单认识原型污染
JavaScript原型污染漏洞复现与防范
weixin_67259816的博客
08-05 428
原型污染是JavaScript中的一种安全漏洞,利用该漏洞可以修改对象原型,从而影响对象及其属性的行为。攻击者可以通过修改原型链来添加或覆盖属性,甚至在全局范围内添加恶意代码,导致应用程序出现意外行为或安全问题。
jQuery 修复“原型污染”安全漏洞;安全研究员 MalwareTech 认罪
redditnote的博客
04-22 301
(给技术最前线加星标,每天看技术热点)转自:开源中国、solidot、cnBeta、腾讯科技、快科技等【技术资讯】0、jQuery 修复的“原型污染”安全漏洞是什么?前两...
ppfuzz:用 Rust 编写的用于扫描客户端原型污染漏洞的快速工具。 :crab:
08-05
用 Rust 编写的用于扫描客户端原型污染漏洞的快速工具。 :crab: 贡献 归因 致谢 执照 安装 二进制 简单地,从发布页面下载一个预先构建的二进制文件并运行! 来源 注意:应该安装Rust ! 使用cargo : :play_...
SecExample:JAVA 漏洞靶场 (Vulnerability Environment For Java)
07-24
JAVA 漏洞靶场截图介绍NameStar[注入漏洞-SQL注入]:glowing_star::glowing_star::glowing_star:[注入漏洞-命令注入]:glowing_star:[注入漏洞-spel表达式注入]:glowing_star::glowing_star::glowing_star:[XSS漏洞]:...
docker-vulnerability-environment:使用docker构建漏洞环境
02-05
docker-vulnerability-environment:使用docker构建漏洞环境
JavaLearnVulnerability:Java漏洞学习笔记 Deserialization Vulnerability
05-12
JavaLearnVulnerabilityJava漏洞学习代码及笔记项目TODO 漏洞代码完善中 漏洞使用和分析笔记准备中 目前文章分析地址在每一个包下package-info.java Java反序列化 Java反射 Java类加载 shiro漏洞分析 weblogic漏洞...
跨站脚本漏洞(XSS)示例
04-15
NULL 博文链接:https://songjianyong.iteye.com/blog/1754973
retire.js-crx插件
03-09
扫描网站为易受攻击的js库。 扫描Web应用程序以使用易受攻击JavaScript库。 retire.js的目标是帮助您检测具有已知漏洞的版本的使用。 Retire.js Web扩展不是最初的RetireJS项目,而是主要基于github上可用的RetireJS开源存储库-http://retirejs.github.io/retire.js/ ===========版本1.3 .3-添加了流行的自举程序uri提取程序1.3.2版本-添加了一些漏洞1.3.1版本-添加了jQuery mobile XSS漏洞版本1.3.0-添加了根据CVE-2019-11358版本1.2.9发布的jQuery漏洞-添加了两个原型污染Handlebars版本1.2.8中的vulns-添加了有关angularjs漏洞1.2.7的更多描述性链接-添加了有关Bootstrap版本低于4.3.1和低于3.4.1的CVE标识符版本1.2.6-修复了敲除版本1.2.5的正则表达式-更新了有关引导程序漏洞的报告1.2.4版-修复了CkEditor漏洞1.2.3版-为车把hashbang注释添加了正则表达式版本1.2.2-引导程序:澄清了漏洞,添加了CVE(#257)版本1.2.1。 -替换了正则表达式以匹配旧版本的tinyMCE(#256)版本1.2.0-修复了错误的bug版本1.1.9版本-添加了ExtJS vulns版本1.1.8-添加了vue.js vulns版本1.1.7-修复了拼写错误repo版本1.1.6-添加了CVE-2011-4969的摘要并链接到jQuery票证(#228)版本1.1.5-报告了CkEditor xss漏洞========== 支持语言:English
vulnerability:漏洞评估框架
06-16
漏洞可视化 显示漏洞如何在约旦传播。 dataviz 使用 dc.js 显示的变量: 直方图 - 福利模型预测的条形图 每个阈值的变量平均值(模型预测阈值通过特定过滤器显示并表示为固定线) 3 个用于子集化的饼图: 拥有 ...
【网络安全系列】JavaScript原型污染攻击总结
读万卷书,行万里路。
03-13 1715
文章目录0 前言1 原理2 利用 0 前言 原型污染,是 NodeJs 中常见的漏洞,在做 antCTF 时也遇到的原型污染题目,在此记录自己学习原型污染的过程。 1 原理 0x01 问:原型链有什么作用? 用来做继承,也就是基于原有的代码做一定的修改。下面是一个使用原型链实现继承的案例: function Parent () { this.name = 'kevin'; } Parent.prototype.getName = function () { console.log(t
jQuery CVE-2019-11358原型污染漏洞分析和修复建议
weixin_30765475的博客
04-28 2310
一、安全通告 jQuery官方于日前发布安全预警通告,通报了漏洞编号为 CVE-2019-11358原型污染漏洞。由攻击者控制的属性可被注入对象,之后或经由触发 JavaScript 异常引发拒绝服务,或篡改该应用程序源代码从而强制执行攻击者注入的代码路径。奇安信代码卫士将持续关注该漏洞进展,并第一时间为您更新该漏洞信息。 二、文档信息 文档名称jQuery CVE-2019-11...
jQuery框架漏洞全总结及开发建议
热门推荐
iokla
10-02 1万+
一、jQuery简介 jQuery是一个快速、简洁的JavaScript框架,是一个丰富的JavaScript代码库。jQuery设计的目的是为了写更少的代码,做更多的事情。它封装JavaScript常用的功能代码,提供一种简便的JavaScript设计模式,优化HTML文档操作、事件处理、动画设计和Ajax交互。 据一项调查报告,在对433,000个网站的分析中发现,77%的网站至少使用了一个具有已知安全漏洞的前端JavaScript库,而jQuery位列榜首,而且远远超过其他库。但事实上这些库有可用的不
浅谈 Nodejs原型污染
weixin_63231007的博客
03-07 1099
nodejs原型污染原理及利用
php extract 漏洞,PHP ZipArchive::extractTo() Directory Traversal Vulnerability
05-24
漏洞产生的原因是这两个函数没有对用户输入进行充分的验证和过滤,攻击者可以通过构造特殊的文件路径来绕过限制,从而可以读取和操作任意文件。 为了避免这类漏洞,开发人员应该在使用这些函数时进行严格的输入验证...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值