-
Notifications
You must be signed in to change notification settings - Fork 5
jq xss
jQuery导致的XSS跨站漏洞
漏洞官方修复介绍:http://bugs.jquery.com/ticket/9521 1.1. jQuery 1.6.1 1.6.1版本的jQuery代码正则为: quickExpr = /^(?:[^<](<[\w\W]+>)[^>]$|#([\w-]*)$)/, 此处正则表达式存在缺陷,导致产生Dom型XSS漏洞。
1.2. jQuery 1.7.2 1.7.2版本的jQuery代码正则为: quickExpr = /^(?:[^#<](<[\w\W]+>)[^>]$|#([\w-]*)$)/, 此正则依然可以被绕过:
1.3. jQuery 1.11.3 jQuery 1.11.3版本的jQuery代码正则为: rquickExpr = /^(?:\s*(<[\w\W]+>)[^>]|#([\w-]))$/, 依然可以被绕过:
1.4. jQuery 2.x jQuery 2.x版本的jQuery代码正则为: rquickExpr = /^(?:#([\w-]+)|(\w+)|.([\w-]+))$/, 通过调试即可发现 Chrome 未对 location.hash 部分进行 URL 编码处理进入函数,而 Safari 会经过 URL 编码进入函数。
依然可以使用html5 的一些特性,引发错误并onerror弹框:
1.5. 结论 目前最新版本的jQuery有2个版本,分别是1.11.3和2.1.4,其中1.11.3支持低版本IE浏览器,2.1.4的不支持低版本IE浏览器,但这2个版本的jQuery目前的正则表达式都无法完善的过滤危险字符,依然会引起DOM型的XSS跨站漏洞。 1.6. 安全建议 临时解决方案: 暂时隐藏jQuery版本信息,避免被攻击者识别出版本号; 为应用系统制定统一的、影响全局的危险字符黑名单,发现输入中存在危险字符时直接返回固定的错误页面。 正式解决方案: 等待jQuery发布新的修复版本后升级。