最新系统漏洞--Henrik Joreteg html-parse-stringify拒绝服务漏洞

最新推荐文章于 2022-07-28 08:40:42 发布
最新推荐文章于 2022-07-28 08:40:42 发布
阅读量705 收藏 2
点赞数 2
分类专栏: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48555088/article/details/120926436
版权

最新系统漏洞2021年10月22日
受影响系统:
Henrik Joreteg html-parse-stringify < 2.0.1
Henrik Joreteg html-parse-stringify 2
描述:

CVE(CAN) ID: CVE-2021-23346
Henrik Joreteg html-parse-stringify是(Henrik Joreteg)的一个开源应用软件。提供了一种可以快速将HTML解析为AST并将其字符串化为原始字符串的方法。
html-parse-stringify 2.0.1之前版本和html-parse-stringify2存在拒绝服务漏洞。该漏洞源于某些输入请求可能导致用于解析的正则表达式回溯。攻击者可利用该漏洞导致进程冻结。

<**>

建议:

厂商补丁:

Henrik Joreteg

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
https://github.com/HenrikJoreteg/html-parse-stringify/commit/c7274a48e59c92b2b7e906fedf9065159e73fe12

Hacker-Li
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
html-parse-stringify:将格式正确HTML(意味着所有标签均已关闭)解析为AST并返回。 Swift地
04-28
html-parse-stringify 这是一种实验性的轻量级方法,可以快速将HTML解析为AST并将其字符串化为原始字符串。 事实证明,如果您可以对HTML做一个简化的假设,那就是所有标记都必须关闭或自动关闭。 对于这个特定的应用程序,这是可以的。 您可以使用regex在JS中编写超轻/快速解析器。 “为什么要这么做?!您没有阅读: : 吗?!!!” 为什么是,是的,我有:) 但事实是。 如果您可以按照此存储库所示以总计约600字节(min + gzip)的总数进行此操作。 它有可能使基于HTML字符串的DOM差异在浏览器中超轻便,快速。 你说什么DOM差异? 是的。 React.js实质上是该方法的先驱。 使用React,您可以随时渲染为“虚拟DOM”,然后虚拟DOM可以与真实DOM(或最后一个虚拟DOM)进行对比,然后将该差异转换为使真实DOM匹配所需的任何转换您尽
HTML5之JSON新方法 parse()和stringify()
小姑姑的博客
11-02 1167
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>JSON</title> <script type="text/javascript"> // var str='function show(){alert(123)};' //因为function在字符串里,所以不能有空格
jQuery源码分析之parseHTML方法
高山上的鱼
10-28 3526
请首先阅读buildFrament以及正则表达式相关源码 源码如下: //将字符串转化为节点数组!通过log可以知道 var rsingleTag = (/^(?:|)$/); jQuery.parseHTML1 = function( data, context, keepScripts ) { if ( !data || typeof data !== "string" ) { re
如何快速设计一套支持渲染富文本内容的跨端组件
我本可以容忍阳光,如果我不曾见过太阳,然而阳光已使我荒凉,成为更新的荒凉。
07-28 216
背景不知道大家有没有遇到过这种需求,在管理后台配置一段富文本 html 内容,一开始呢,只需要支持渲染到浏览器上面,但随着公司业务的变化,可能需要在小程序上使用,甚至是 ios 或者 android 等其他端上渲染到 h5 或者类浏览器端(忽略 xss 等安全问题)这种一般就直接使用框架自带的,类似vue: vue-htmlreact: dangeroushtml如何渲染...
JSON.parse()和JSON.stringify()
热门推荐
wangxiaohu__的专栏
02-13 70万+
parse用于从一个字符串中解析出json对象,如 var str = '{"name":"huangxiaojian","age":"23"}' 结果: JSON.parse(str) Object age: "23"name: "huangxiaojian"__proto__: Object 注意:单引号写在{}外,每个属性名都必须用双引号,
ampersand-react-starter:基于Henrik Joreteg的Fontend Masters课程的入门工具包
05-09
该入门程序基于Henrik Joretegs Ampersand课程,并且还使用了他的hjs-webpack模块。 这是所使用的出色模块的链接。 感谢所有精彩的创作者。 lodash.assign lodash.has lodash.merge lodash.pick lodash.result...
全卷积网络(Penn-Fudan Database数据集)
07-27
全卷积网络(FCN,Fully Convolutional Networks)是一种深度学习模型,主要应用于图像分割任务,由Long等人在2015年的论文《Fully Convolutional Networks for Semantic Segmentation》中提出。...
api-status:Hen Henrik Mertens的正常运行时间监控器和状态页面,由@upptime提供支持
02-15
: :green_square: 所有系统均可运行 该存储库包含由支持的的开源正常运行时间监控器和状态页面。 使用 ,您可以拥有自己的无限和免费的正常运行时间监控器和状态页面,完全由GitHub存储库提供支持。 我们将“用作...
PyTorch-YOLOv3 无coco数据集需要自己下载、无代码批注
07-16
PyTorch-YOLOv3 无coco数据集需要自己下载、无代码批注
react-ampersand:Henrik Joretag 使用 React 和 Ampersand.js 的人类 Javascript 课程
06-06
在本教程中,我们探索的是"react-ampersand",这是由Henrik Joretag设计的一个课程,目的是教你如何结合使用React和Ampersand.js来构建高效、人性化的JavaScript应用。React是由Facebook开发的一个JavaScript库,...
富文本编辑器之游戏角色升级ing
vivo互联网技术
07-05 176
本文通过游戏角色类比的方式,介绍了富文本编辑器的形态、发展历程,以及如何根据业务需求快速的选型、扩展插件和改造主题。希望能够让富文本编辑器接触较少的开发者,都可以深入的了解富文本编辑器。
parsestringify
weixin_30810239的博客
11-28 69
JSON.stringify(jsonObj) 将json对象转换成json字符串 JOSN.parse(jsonString) 将json字符串转换成json对象 需要注意的是: 使用eval("(" + jsonObj + ")") 也可以做到将json对象转换成json字符串,但是eval会解析jsonObj中的代码。 转载于:https://www.cnblog...
jQuery漏洞复现整理
网安君的博客
02-23 1万+
平时Acunetix会扫出来很多 Vulnerable JavaScript libraries中危漏洞,JavaScript一般存在的都是XSS漏洞,那么如何去在报告中体现出这个漏洞呢,具体内容如下文。 JavaScript XSS Demo <!DOCTYPE html> <html lang="zh"> <head> <meta charset="UTF-8"> <meta name="viewport" content="wid
burpsuite靶场系列之客户端漏洞篇 - 跨站脚本(XSS)专题
weixin_50464560的博客
04-14 3237
https://www.anquanke.com/post/id/245953 本系列介绍 PortSwigger是信息安全从业者必备工具burpsuite的发行商,作为网络空间安全的领导者,他们为信息安全初学者提供了一个在线的网络安全学院(也称练兵场),在讲解相关漏洞的同时还配套了相关的在线靶场供初学者练习,本系列旨在以初学者视角出发对学习该学院内容及靶场练习进行全程记录并为其他初学者提供学习参考,希望能对初学者们有所帮助。 客户端漏洞篇介绍 相对于服务器端漏洞篇,客户端漏洞篇会更加复杂
C语言实战--DDOS攻击器
weixin_48555088的博客
10-04 20万+
VS2013运行通过 版权由本人编写,禁止魔改用于商业用途 #include <stdio.h> #include <WinSock2.h> //网络编程 #include <iostream> #pragma comment(lib , "ws2_32.lib") //DDOS攻击 DWORD WINAPI WorkProc(LPVOID lpParam); SOCKET sockClient; int main() { //1.输入肉鸡官网链
C语言入门--标识符与关键字--第一章4
weixin_48555088的博客
09-25 19万+
标识符 在 C 语言中,用来对变量,函数,数组等命名的字符序列被称为标识符。比如:变量名 a、函数名 printf 等都是标识符。 C 语言对标识符有以下规定: 只能由 26 个英文字母、数字或下划线 3 种字符组成。 第 1 个字符只能是字母或下划线。 大小写敏感的。 不能全部是关键字。 以下列出一些合法标识符,可以做变量名或者函数名。 abc,a1,_max,day ,a_2_5,int1、INT。 下面是一些不合法的标识符。 1a,%abc,#33,a<b,int,1_2_5。 【注意】C.
C语言入门--变量--第一章3
weixin_48555088的博客
09-25 19万+
在 C 语言中,一个合法的变量由 3 部分组成:变量类型、变量名、变量值。 变量类型:变量的类型是用来规定变量对应内存空间的大小和能盛放的东西。 变 量名:变量名是用来标记变量对应的内存空间。就好比,有 10 个一模一样的杯子,从外表 看根本无法区分。但是,如果给每个杯子都做一个标记,比如依次贴上标签:“1 号”、“2 号”……“10 号”,这样就不会混淆了。同理,变量名也是同样的作用,通过变量名就可以 精准的找到变量对应的内存空间。 变量值:变量值是变量名标记内存空间中的数据。就好比,杯子中装的可乐、咖啡
C语言入门--Helloworld--第一章1
weixin_48555088的博客
09-25 19万+
Helloworld显示代码: #include<stadio.h> int main{ printf("Helloworld"); getchar(); return 0; } 程序分析: 第一行:#include是
4WARD项目:未来互联网的In-Network管理概念
该项目由 Henrik Abramowicz 作为项目协调员,由Ericsson AB领导,并涉及多个合作伙伴,包括NEC、DT(德国电信)、EAB、Fraunhofer、IT(葡萄牙 Instituto Superior Técnico)、KTH(瑞典皇家理工学院)、NSND...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值