JQuery1.4.2'index.html'跨站脚本漏洞
XSS Reflected JQuery 1.4.2 - Create object option in runtime client-side
成都创新互联专注于克州网站建设服务及定制,我们拥有丰富的企业做网站经验。 热诚为您提供克州营销型网站建设,克州网站制作、克州网页设计、克州网站官网定制、小程序开发服务,打造克州网络公司原创品牌,更为您提供克州网站排名全网营销落地服务。
影响版本:
JQuery-1.4.2
危害:
JQuery 'index.html'不正确过滤用户提交的输入,远程***者可以利用漏洞构建恶意URI,诱使用户解析,可获得敏感Cookie,劫持会话或在客户端上进行恶意操作。
测试:
启动nginx,并创建文件jquery-xss-reflected.com.br.html,内容为:
-->
-->
$(function() {
$('#users').each(function() {
var select = $(this);
var option = select.children('option').first();
select.after(option.text());
select.hide();
});
});
访问地址:
http://localhost/jquery-xss-reflected.com.br.html
测试截图:
相关连接地址:
http://seclists.org/fulldisclosure/2014/Sep/10
文章名称:JQuery1.4.2'index.html'跨站脚本漏洞
URL地址:http://cdiso.cn/article/jccogo.html