有办法利用jquery 1.12.4漏洞吗?
有办法利用jquery 1.12.4漏洞吗?
提问于 2019-03-22 07:55:06
根据https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=jquery+1.12.4和https://snyk.io/test/npm/jquery/1.12.4,我看到jQuery 1.12.4存在中度服务器端漏洞。
我检查了-db和searchsploit,看看是否有已知的漏洞,但什么也找不到。有人知道如何利用吗?
回答 1
Security用户
回答已采纳
发布于 2019-03-22 11:06:29
它自动执行对AJAX请求接收到的JavaScript。
考虑这个例子,它对用户可以输入的URL执行GET请求。
$.get($("input").val())现在,如果用户输入https://sakurity.com/jqueryxss,jQuery将识别为JavaScript (因为内容类型标头)并自动执行它。从其他域执行JavaScript实际上是XSS,因此执行的JavaScript可以接管会话或更改页面外观。
只有当您能够对恶意JavaScript文件触发AJAX请求时,才能利用此漏洞。
我写了一篇关于这个的博文:评估远程JavaScript的库
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/205864
复制相关文章
相似问题
腾讯云开发者
