jQuery <= 1.11.3 DomXSS漏洞

最新推荐文章于 2024-05-17 02:52:44 发布
最新推荐文章于 2024-05-17 02:52:44 发布
阅读量2.6k 收藏 1
点赞数
文章标签: php javascript ViewUI
原文链接:http://www.cnblogs.com/coolid/p/9237258.html
版权

 

听团里说WordPress又爆跨站漏洞了:“ XSS漏洞在Jetpack和二十五默认主题影响百万WordPress用户 ”,分析发现原来是jQuery老版本的DOM XSS漏洞【错误#9521】。
11年dmethvin提交jQuery 1.6.1版本的Ticket#9521,其原因是由$() | jQuery()预选的CSS选择器在其他情况下可用于创建HTML元素,如果编码不当(事实上很多编码不当的情况),将会导致产生DomXSS漏洞。

示例(jQuery 1.6.1)

  1. <html>
  2. <head>
  3.     <title>jQuery DomXSS test</title>
  4.     <script type="text/javascript" src="https://ajax.googleapis.com/ajax/libs/jquery/1.6.1/jquery.min.js"></script>
  5.     <script>
  6.         $(location.hash);
  7.     </script>
  8. </head>
  9. <body>
  10. Hello, jQuery.
  11. </body>
  12. </html>
复制代码



WordPress默认主题二十一个例子

example.html 297-299行:
  1. // set permalink
  2. var permalink = cssclass.split(' genericon-')[1];
  3. window.location.hash = permalink;
最低0.47元/天 解锁文章
weixin_30872337
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
jQuery XSS漏洞学习
weixin_43459870的博客
01-03 1万+
jQuery基础信息 jQuery简介 jQuery是一个快速、简洁的JavaScript框架,是一个丰富的JavaScript代码库。jQuery设计的目的是为了写更少的代码,做更多的事情。它封装JavaScript常用的功能代码,提供一种简便的JavaScript设计模式,优化HTML文档操作、事件处理、动画设计和Ajax交互。 jQuery是一个JavaScript UI框架,它为许多DOM...
JQuery跨站脚本漏洞
qq274575499的博客
04-02 1511
jQuery 3.4.0之前版本中存在跨站脚本漏洞,该漏洞源于WEB应用缺少对客户端数据的正确验证。攻击者可利用该漏洞执行客户端代码。
jQuery-with-XSS 检测jQuery版本是否存在XSS漏洞
09-29
网站中包含大量的动态内容以提高用户体验,比过去要复杂得多。所谓动态内容,就是根据用户环境和需要,Web应用程序能够输出相应的内容。动态站点会受到一种名为“跨站脚本攻击”(Cross Site Scripting, 安全专家们通常将其缩写成XSS,原本应当是css,但为了和层叠样式表(Cascading Style Sheet,CSS )有所区分,故称XSS)的威胁,而静态站点则完全不受其影响。
jQuery-XSS漏洞(CVE-2020-11022 CVE-2020-11023)_cve-2020-11023复现
最新发布
2401_85014040的博客
05-17 596
在大于或等于1.2且在3.5.0之前的jQuery版本中,即使执行了消毒(sanitize)处理,也仍会执行将来自不受信任来源的HTML传递给jQueryDOM操作方法(即html()、.append()等),从而导致xss漏洞。上面漏洞验证payload代码没有问题,有些可能由于编辑器问题,复制后有些许问题,这里我给出我本地使用的poc,大家下载修改js路径即可使用。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人**
jQuery DOM XSS漏洞
ZPFCD的博客
01-19 1140
JQuery DOM方法中XSS漏洞: <html class=" -webkit- js flexbox canvas canvastext webgl no-touch geolocation postmessage websqldatabase indexeddb hashchange history draganddrop websockets rgba hsla multiplebgs backgroundsize borderimage borderradius boxshadow
jQuery框架漏洞全总结及开发建议
热门推荐
iokla
10-02 1万+
一、jQuery简介 jQuery是一个快速、简洁的JavaScript框架,是一个丰富的JavaScript代码库。jQuery设计的目的是为了写更少的代码,做更多的事情。它封装JavaScript常用的功能代码,提供一种简便的JavaScript设计模式,优化HTML文档操作、事件处理、动画设计和Ajax交互。 据一项调查报告,在对433,000个网站的分析中发现,77%的网站至少使用了一个具有已知安全漏洞的前端JavaScript库,而jQuery位列榜首,而且远远超过其他库。但事实上这些库有可用的不
流行插件 jQuery 被曝存在漏洞达三年之久!
CSDN资讯
10-25 6723
【CSDN编者按】作为GitHub 平台上仅次于 jQuery 框架本身第二受欢迎的 jQuery 项目,流行插件 jQuery File Upload被整合到了数以...
开发工具 jquery-1.11.3.min
05-31
开发工具 jquery-1.11.3.min开发工具 jquery-1.11.3.min开发工具 jquery-1.11.3.min开发工具 jquery-1.11.3.min开发工具 jquery-1.11.3.min开发工具 jquery-1.11.3.min开发工具 jquery-1.11.3.min开发工具 jquery-...
jquery-1.11.3
06-01
总结,jQuery 1.11.3作为一个稳定的版本,为前端开发者提供了强大的工具箱,简化了DOM操作、事件处理、动画制作、Ajax通信等多个方面的工作,使得JavaScript编程变得更加高效和便捷。尽管现代前端框架如React和Vue....
jqueryAPI_1.11.3
05-09
jQuery API 1.11.3:深入理解与应用》 jQuery API 1.11.3 是一个广泛使用的JavaScript库,它极大地简化了HTML文档遍历、事件处理、动画制作以及Ajax交互等任务。这个版本的API文档是开发者在编写jQuery代码时不可...
Jquery-1.11.3版本 jquery-1.11.3.rar
11-21
jQuery 1.11.3版本在性能方面做了许多改进,包括更快的DOM遍历、优化的选择器引擎和更高效的事件处理。这使得在处理大量元素时,jQuery的运行速度得到了提升,减少了对浏览器资源的消耗。 3. **兼容性** jQuery ...
jquery xss验证代码
08-13
jquery xss验证代码,以txt打开,修改http://xxx/jquery.js,保存后加载有问题的jquery,可以出现弹窗
jquery1.11.2
02-24
jQuery JavaScript Library v1.11.2.
jquery 最新版 v1.11.3 (1.x最新版)
08-31
2015-08-31 最新版的jquery,包括 jquery-1.11.3.min.js 、 jquery-1.11.3.js 、 jquery-1.11.3.min.map
Jquery 1.11.2
02-12
Jquery官网下载的Jquery 1.11.2文件,包括jquery-1.11.2.min.js、jquery-1.11.2.min.map和jquery-1.11.2.js,供有需要但网速太慢的童鞋下载
jquery-1.11.3.js
08-17
2. **DOM操作**:jQuery提供了一系列方法来操作DOM(文档对象模型)。比如,`append()`用于在元素内部追加内容,`remove()`用于移除元素,`html()`用于获取或设置元素的HTML内容。 3. **事件处理**:jQuery简化了...
JQueryXSS攻击中的表现
qq_44884577的博客
04-17 986
JQueryXSS攻击中的表现
jquery使用ajax发送payload
zhongqiu1693的博客
09-24 998
jquery使用ajax发送payload var data = {'name':'李丹','work':'工程师'}; $.ajax({ url: '', type: 'POST',//我们使用的swaggerAPI,方法不对,会返回403错误 contentType: 'application/json; charset=utf-8', // 类型必须设置 data: JSON.stringify(data), //必须使用JSON.stringify({'name':'
最新版jQuery v3.3.1的BUG以及解决办法(什么问题不重要,怎么解决问题才重要)...
weixin_34166472的博客
09-12 800
发现问题 最新版的 FineUIPro v5.2.0 中,我们将内置的 jQuery v1.12.4 升级到 jQuery v3.3.1 ,可以看升级记录: +升级到jQuery v3.3.1。    -jQuery v3.x支持的浏览器:Chrome,Edge,Firefox,Safari,IE9+。    -增加类型JSLibrary枚举值JQv1,用来引入jQuery v1.x。  ...
<script src="<%=basePath%>js/jquery-1.11.3.min.js"></script> <!-- Bootstrap Core JavaScript --> <script src="<%=basePath%>js/bootstrap.min.js"></script> <!-- Metis Menu Plugin JavaScript --> <script src="<%=basePath%>js/metisMenu.min.js"></script> <!-- DataTables JavaScript --> <script src="<%=basePath%>js/jquery.dataTables.min.js"></script> <script src="<%=basePath%>js/dataTables.bootstrap.min.js"></script> <!-- Custom Theme JavaScript --> <script src="<%=basePath%>js/sb-admin-2.js"></script>
06-01
1. jquery-1.11.3.min.js:jQuery库是一个JavaScript库,提供了一系列常用的DOM操作和事件处理函数,可以简化JavaScript编程。这个文件是jQuery库的压缩版本,用于减小文件大小。 2. bootstrap.min.js:Bootstrap是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值