jQuery 跨站脚本漏洞

最新推荐文章于 2024-05-22 10:11:08 发布
最新推荐文章于 2024-05-22 10:11:08 发布
阅读量1k 收藏
点赞数
文章标签: javascript ViewUI
原文链接:http://www.cnblogs.com/security4399/archive/2013/03/13/2958502.html
版权

漏洞名称:jQuery 跨站脚本漏洞
CNNVD编号:CNNVD-201303-203
发布时间:2013-03-12
更新时间:2013-03-12
危害等级:  
漏洞类型:跨站脚本
威胁类型:远程
CVE编号:CVE-2011-4969

jQuery是继prototype之后又一个优秀的Javascrīpt框架。 
        jQuery 1.6.3之前版本中存在跨站脚本漏洞。当使用location.hash选择元素时,通过特制的标签,远程攻击者利用该漏洞注入任意web脚本或HTML。

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接: 
        http://www.ubuntu.com/usn/USN-1722-1/

来源: github.com 
链接:https://github.com/jquery/jquery/commit/db9e023e62c1ff5d8f21ed9868ab6878da2005e9 


来源: UBUNTU 
名称: USN-1722-1 
链接:http://www.ubuntu.com/usn/USN-1722-1 


来源: OSVDB 
名称: 80056 
链接:http://www.osvdb.org/80056 

转载于:https://www.cnblogs.com/security4399/archive/2013/03/13/2958502.html

weixin_30664051
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
跨站脚本漏洞(XSS)示例
04-15
NULL 博文链接:https://songjianyong.iteye.com/blog/1754973
jQuery Mobile漏洞会有跨站脚本攻击风险
12-11
jQuery Mobile 漏洞跨站脚本攻击风险】 jQuery Mobile 是一款广泛使用的前端开发框架,特别是针对响应式Web应用和移动设备优化。作为jQuery框架的一个组件,它提供了丰富的功能,包括对HTML5的支持,使得开发者...
跨站脚本攻击漏洞怎么修复_Drupal发布新版,修补jQuery与Symfony的跨站脚本攻击漏洞...
weixin_39851918的博客
12-16 443
开源内容管理框架Drupal对其Drupal 7、Drupal 8.5以及Drupal 8.6发布新建置版本,以修补JavaScript函式库jQuery和网页应用程式框架Symfony中跨站脚本攻击(Cross-Site Scripting,XSS)漏洞等其他问题,Drupal官方建议网站管理员立即更新。由于jQuery官方在4月中时发布新版jQuery 3.4.0,并于文件提到,之前版本存在跨...
jqery版本低的安全漏洞问题
最新发布
Shi_haoliu的博客
05-22 373
其实这是最好与最简单的修复方式,但是最新版的jquery不兼容旧版本,很多的api被废除了,所以如果升级到最新版的话,容易崩,还有个方式就是jquery团队推出的一个插件migrate。具体使用方法自行去jquery查询。最近在做项目的时候扫描除了很多js版本过低的问题,主要集中在1.x 2.x 还有1.12jQuery&
JQuery跨站脚本漏洞
zeroc009的博客
02-28 2522
原理: jQuery中过滤用户输入数据所使用的正则表达式存在缺陷,可能导致 location.hash 跨站漏洞 影响范围: 版本低于1.7的jQuery过滤用户输入数据所使用的正则表达式存在缺陷,可能导致LOCATION.HASH跨站漏洞 已测试成功版本: jquery-1.6.min.js,jquery-1.6.1.min.js,jquery-1.6.2.min.js jquery-1.5所有版本 jquery-1.4所有版本 jquery-1.3所有版本 jquery-1.2所有版本 测试
解决jquery版本过低引发的XSS跨站安全漏洞
热门推荐
kang1011的博客
11-13 1万+
解决jquery版本过低引发的安全漏洞 测试网站是否存在此XSS跨站漏洞: 以google浏览器为例,打开要测试的网站,在Console窗口输入: $.fn.jquery 回车查看版本号 $(“element[attribute=’<img src=123123 οnerrοr=alert(123)>’”); 回车之后会出现弹窗,说明存在XSS跨站漏洞 漏洞原因: 1.x系列版本等于或低于1.12的jQuery,和2.x系列版本等于或低于2.2的jQuery,过滤用户输入数据所使用的
360提示[高危]使用存在漏洞JQuery版本的解决方法
10-19
今天用360检测网站,提示高危]使用存在漏洞JQuery版本,说是这个文件有问题jquery.min.js,这里脚本之家小编就为大家分享一下解决方法
jQuery-1.7.2任意文件读取漏洞验证利用脚本
04-27
jQuery是一个快速、简洁的JavaScript框架,丰富的Javascript代码库,在其1.7.2版本的sys_dia_data_down模块存在任意文件读取漏洞,攻击者可通过前台读取任意文件。
jquery漏洞修复方案
resilient的博客
07-08 1535
1)采取隐藏版本号的方法增加攻击难度; 2)对已存在的jQuery进行升级和打补丁; 3)在代码层对用户输入数据进行严格限制,这也是防御的根本。
JQuery-XSS漏洞CVE-2020-11022/CVE-2020-11023)漏洞复现】
一纸荒芜的博客
10-31 1万+
jquery-xss漏洞复现
CVE-2012-4969漏洞分析
02-29
CVE-2012-4969漏洞分析,详细的分析了该漏洞的造成原因!
jQuery最新xss漏洞浅析、复现、修复
qq_29365787的博客
06-08 1万+
jQuery最新xss漏洞浅析、复现、修复 1、xss漏洞的形成和危害 形成:xss漏洞也叫跨站脚本编制,形成的原因简单说就是 应用程序未对用户可控制的输入正确进行无害化处理,就将其放置到充当 Web 页面的输出中。这可被跨站脚本编制攻击利用。 在以下情况下会发生跨站脚本编制 (XSS) 脆弱性: [1] 不可信数据进入 Web 应用程序,通常来自 Web 请求。 [2] Web 应用程序动态生成了包含此不可信数据的 Web 页面。 [3] 页面生成期间,应用程序不会禁止数据包含可由 Web 浏览器执
jQuery框架漏洞全总结及开发建议
iokla
10-02 1万+
一、jQuery简介 jQuery是一个快速、简洁的JavaScript框架,是一个丰富的JavaScript代码库。jQuery设计的目的是为了写更少的代码,做更多的事情。它封装JavaScript常用的功能代码,提供一种简便的JavaScript设计模式,优化HTML文档操作、事件处理、动画设计和Ajax交互。 据一项调查报告,在对433,000个网站的分析中发现,77%的网站至少使用了一个具有已知安全漏洞的前端JavaScript库,而jQuery位列榜首,而且远远超过其他库。但事实上这些库有可用的不
漏洞分析】Microsoft IE execCommand函数释放后重用漏洞(CVE-2012-4969)
counsellor的专栏
05-09 1192
0x00 前言 前一段时间接到了某种检测语言的翻译工作,因为这种检测语言是为公开的,所以需要编译器重新翻译处理。准确的说是一种DSL(Domain Specific Language)。之前的大神有过一个版本的类似DSL解析,尝试改了改,发现人肉工作量不可接受。之前写过json的解析器。感觉本质相同,于是重新写了一个解析器,解析效率杠杠的,收到了意想不到的成果。so cool~ 趁着五一翻翻cve...
升级Jquery版本,解决低版本安全漏洞
weixin_45394033的博客
10-21 7895
Jquery 低版本存在安全漏洞,所以需要升级版本记录 jQuery 1.12.3 升级到 v3.x。
jQuery 解决低版本安全漏洞 并兼容旧版写法及依赖老插件
joe0235的博客
02-23 5273
jQuery 解决低版本安全漏洞 兼容旧版写法及依赖老插件
jQuery导致的XSS跨站漏洞
weixin_45908624的博客
11-17 5316
jQuery导致的XSS跨站漏洞
JQuery XSS漏洞(CVE-2020-11022/11023)
ZPFCD的博客
01-19 2800
漏洞源于WEB应用缺少对客户端数据的正确验证。 影响版本: 1.2.0 <= jquery < V 3.5.0 测试代码: <!DOCTYPE html> <html> <head> <meta charset="utf-8"> <title>jQuery XSS Examples (CVE-2020-11022/CVE-2020-11023)</title> <script sr.
jquery跨站脚本漏洞
09-02
jQuery跨站脚本漏洞主要是由于其在处理用户输入时,没有充分验证用户输入的安全性。 这种漏洞的利用方式大致分为两种:一种是对用户输入的数据进行恶意修改,然后以用户的身份执行一些不被授权的操作;另一种是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值