解决jquery版本过低引发的安全漏洞


测试网站是否存在此XSS跨站漏洞:
以google浏览器为例,打开要测试的网站,在Console窗口输入:

$.fn.jquery
回车查看版本号

$(“element[attribute=’<img src=123123 οnerrοr=alert(123)>’”);
回车之后会出现弹窗,说明存在XSS跨站漏洞



漏洞原因:

1.x系列版本等于或低于1.12的jQuery,和2.x系列版本等于或低于2.2的jQuery,过滤用户输入数据所使用的正则表达式存在缺陷,可能导致LOCATION.HASH跨站漏洞。

修复建议:

1、升级版本:

其实这是最好与最简单的修复方式,但是最新版的jquery不兼容旧版本,很多的api被废除了,所以如果升级到最新版的话,容易崩,还有个方式就是jquery团队推出的一个插件migrate。具体使用方法自行去jquery查询

2、隐藏版本号

这个方法其实挺苟的,就是让扫描器无法识别该js版本号,操作方法就是将jquery文件头部带版本号的注释删除,并将文件内的版本号删除。不想删的可以改成最新的版本号:3.5.1

3:重写js方法

重写一些方法,或者把低版本的对应的方法替换成高版本

解决jquery版本过低引发的XSS跨站安全漏洞相关推荐

  1. WordPress4.8.1版本存在XSS跨站攻击漏洞

    2017年10月19日,阿里云安全威胁情报系统监测到WordPress 官方发布了一条安全通告表示在4.8.1版本中发现了一个存储型的XSS漏洞,通过该漏洞,攻击者可以在受影响网站的评论区写下包含恶意 ...

  2. AppNinja一文解决:targetSdkVersion版本过低安装失败,安装apk提示版本太低,targetsdkversion修改方法,附带打包修改工具

    解决targetSdkVersion版本过低安装失败,安装apk提示版本太低,targetsdkversion修改方法 直接上解决办法: 一.打包错误 AndroidManifest.xml:1: e ...

  3. XSS跨站攻击解决办法--AntiSamy的配置及使用

    XSS跨站攻击 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS.恶意攻击 ...

  4. 如何进行渗透测试XSS跨站攻击检测

    国庆假期结束,这一节准备XSS跨站攻击渗透测试中的利用点,上一节讲了SQL注入攻击的详细流程,很多朋友想要咨询具体在跨站攻击上是如何实现和利用的,那么我们Sinesafe渗透测试工程师为大家详细的讲讲 ...

  5. Web漏洞-Xss跨站

    25.Xss跨站之原理分类及攻击方法 原理 XSS 跨站漏洞产生原理,危害,特点? 本质,产生层面,函数类,漏洞操作对应层,危害影响,浏览器内核版本等 本质 跨站脚本攻击是指攻击者往Web页面里插入恶 ...

  6. 【安全牛学习笔记】xss跨站

    xss跨站解释 xss类型分类      xss***手法      模拟一次xss*** 简述 跨站脚本***(也称为XSS)指利用网站漏洞从用户那里恶意盗取信息.***者通过在链接中插入恶意代码, ...

  7. day36 XSS跨站MXSSUXSSFlashXSSPDFXSS

    前言 #知识点: 1.XSS跨站-原理&攻击&分类等 2.XSS跨站-MXSS&UXSS&FlashXss&PDFXSS等 1.原理 指攻击者利用网站程序对用户 ...

  8. WAF——针对Web应用发起的攻击,包括但不限于以下攻击类型:SQL注入、XSS跨站、Webshell上传、命令注入、非法HTTP协议请求、非授权文件访问等...

    核心概念 WAF Web应用防火墙(Web Application Firewall),简称WAF. Web攻击 针对Web应用发起的攻击,包括但不限于以下攻击类型:SQL注入.XSS跨站.Websh ...

  9. php mysql可以跨站_Laravel5中防止XSS跨站攻击的方法

    本文实例讲述了Laravel5中防止XSS跨站攻击的方法.分享给大家供大家参考,具体如下: Laravel 5本身没有这个能力来防止xss跨站攻击了,但是这它可以使用Purifier 扩展包集成 HT ...

最新文章

  1. 读“基于深度学习的图像识别技术研究综述”有感
  2. IE访问历史记录恢复工具pasco
  3. 一篇博客带你轻松应对Springboot面试
  4. Java使用AES加密解密
  5. 2003DC 升级到2008R2 DC实验
  6. C++ File IO
  7. torchvision 笔记:transforms.Normalize()
  8. log4j.xml配置文件
  9. 【洛谷P1967】[NOIP2013]货车运输
  10. python ssh实现_SSH协议的Python实现paramiko
  11. java设计模式初探之装饰者_JAVA设计模式初探之装饰者模式
  12. android meta-data定义,Android中meta-data的使用
  13. Mac - 让NSView快捷的实现阴影效果
  14. 《疯狂的程序员》有感
  15. python网络爬虫实战之下载笔趣看小说网小说
  16. Matlab syms 矩阵变量,matlab syms.m
  17. 通过100个单词掌握英语语法(二十二)give
  18. 系列一:HIDS初识
  19. php怎么开发微信网页,PHP实现微信网页授权开发的步骤
  20. 在idea中完成创建maven工程,搭建MVC框架并完成和servlet相似的操作

热门文章

  1. 前端使用xlsx.core.min.js读取excel内容
  2. j-link 驱动下载地址
  3. 异星工场服务器直连,异星工厂独立服务器联机设置教程
  4. Ruby 安装 - Windows
  5. Noip2017提高组 退役记
  6. 字节跳动内部资料泄露?音视频开发教程(附面试题+视频教程),全文共301页,包含50个知识点
  7. 微小区V2 v2.3.2
  8. 白帽子讲web安全概览
  9. python人员管理系统_python如何实现大学人员管理系统 python实现大学人员管理系统实例...
  10. 普元eos中jsp无法自动编译