《WEB安全渗透测试》（24）jQuery中的XSS漏洞

编程开发更新时间:2023-03-31 04:11:47

1.前言

jQuery在Web中广泛应用，当jQuery的版本大于或等于1.2且小于3.5.0的时候，即使执行了消毒（sanitize）处理，也仍会执行将来自不受信任来源的HTML传递给jQuery的DOM操作方法（即html()、.append()等），从而导致xss漏洞。

利用原作者搭建的环境：

https://vulnerabledoma.in/jquery_htmlPrefilter_xss.html

这个环境内置了三个xss poc，点击Append via .html()按钮即可触发XSS漏洞。

当我们要检测某个jquery是否存在漏洞时，可以将URL替换如下标红处，然后再浏览器打开该html。

HTML源码：<

更多推荐

《WEB安全渗透测试》（24）jQuery中的XSS漏洞

本文发布于:2023-03-31 04:11:00，感谢您对本站的认可！

漏洞测试 WEB XSS jQuery

评论列表（有 0 条评论）