Javascript框架库漏洞验证-阿里云开发者社区

开发者社区> 李白你好> 正文

Javascript框架库漏洞验证

简介: Javascript框架库漏洞验证
+关注继续查看

Javascript框架库漏洞

💨前言

经常看到漏扫扫出来这个漏洞,查看了网上好多文章都没有正确的验证方法都在扯淡。今天我来点干货记录一下这个漏洞到底是怎么触发JS生成XSS的,也方便后面漏洞验证报告的书写。

AWVS扫出来的JS框架库漏洞

image.png

RSAS扫出来的JS框架库漏洞

image.png

💩漏洞验证

根据检测到目标站点存在javascript框架库漏洞原理,通过获取javascript框架库版本并查看该版本是否在受影响范围内进行漏洞验证。

查看对应版本是否在漏洞和验证的payload

http://research.insecurelabs.org/jquery/test/

image.png

查看版本js1.2.2

image.png

找对应payload

image.png

构造payload

$("#<img src=x οnerrοr=alert(xss)")

$("element[attribute='<img src=x οnerrοr=alert(xss)'")

F12打开控制台输入payloadimage.png

image.png

👀漏洞描述

JavaScript 框架或库是一组能轻松生成跨浏览器兼容的 JavaScript 代码的工具和函数。如果网站使用了存在漏洞的 JavaScript 框架或库,攻击者就可以利用此漏洞来劫持用户浏览器,进行挂马、XSS、Cookie劫持等攻击。

🐾解决办法

将受影响的javascript框架库升级到最新版本。

删除所有的cookie设置,从新使用一下设置cookie

reponse.addHeader("Set-Cookie", "userName="+user.getUserName()+"; Path=/; HttpOnly");

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
Mac OS X现漏洞 苹果称是Java导致恶意攻击
Mac OS X向来对自己的安全性十分满意,很多Mac OS X的用户压根没有安装任何的反病毒等安全软件。今日据国外媒体报道,Mac OS X爆出重大安全漏洞,未来的几个月内所有的Mac OS X用户都有可能受到此漏洞威胁。
548 0
阿里云服务器怎么设置密码?怎么停机?怎么重启服务器?
如果在创建实例时没有设置密码,或者密码丢失,您可以在控制台上重新设置实例的登录密码。本文仅描述如何在 ECS 管理控制台上修改实例登录密码。
9485 0
java反序列化漏洞入门分析
参考文献: https://nickbloor.co.uk/2017/08/13/attacking-java-deserialization/amp/https://www.
1668 0
37%的网站都在使用含有漏洞的JavaScript库
本文讲的是37%的网站都在使用含有漏洞的JavaScript库,随着客户端Web应用的日益增多,越来越多的逻辑已经开始从服务器端转移至客户端,这些逻辑通常都是使用JavaScript语言所编写。但遗憾的是,目前开发人员普遍不太关注JavaScript代码的安全性。
1575 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,阿里云优惠总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系.
13168 0
Java反序列化漏洞执行命令回显实现及Exploit下载
原文地址:http://www.freebuf.com/tools/88908.html   本文原创作者:rebeyond 文中提及的部分技术、工具可能带有一定攻击性,仅供安全学习和教学用途,禁止非法使用! 0×00 前言 前段时间java 的反序列化漏洞吵得沸沸扬扬,从刚开始国外某牛的一个可以执行OS命令的payload生成器,到后来的通过URLClassLoader来加载远程类来反弹shell。
1288 0
阿里云ECS云服务器初始化设置教程方法
阿里云ECS云服务器初始化是指将云服务器系统恢复到最初状态的过程,阿里云的服务器初始化是通过更换系统盘来实现的,是免费的,阿里云百科网分享服务器初始化教程: 服务器初始化教程方法 本文的服务器初始化是指将ECS云服务器系统恢复到最初状态,服务器中的数据也会被清空,所以初始化之前一定要先备份好。
11502 0
阿里云ECS云服务器初始化设置教程方法
阿里云ECS云服务器初始化是指将云服务器系统恢复到最初状态的过程,阿里云的服务器初始化是通过更换系统盘来实现的,是免费的,阿里云百科网分享服务器初始化教程: 服务器初始化教程方法 本文的服务器初始化是指将ECS云服务器系统恢复到最初状态,服务器中的数据也会被清空,所以初始化之前一定要先备份好。
6886 0
+关注
李白你好
李白,华为云享专家、华为HCIE-R&amp;S专家、CSDN网络领域优质创作者、掘金创作者、BOSS有了黄金创作者、DedSec团队负责人。目前就职于某安全大厂网络攻防实验室,致力于网络、安全领域。全网粉丝2万+
113
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载