当先锋百科网

首页 1 2 3 4 5 6 7

最近有关于jquery 1.12.3版本的漏洞被发现,这个漏洞可以让攻击者在不登录情况下控制网站或者服务的整个进程。

根据jQuery官方发布的安全更新通告:这个漏洞被称作“jQuery文件上传漏洞”,攻击者可以借助这个漏洞来上传恶意文件,进行XSS攻击等危害性行为。

var jsre = new RegExp("(<.>)", 'gm');
function sanitizeHtml(s) {
return ("" + s).replace(jsre, "");
}
domManip( args, callback, true, function( elem ) {
if ( this.nodeType === 1 ) {
this.removeAttribute( name );
this.removeAttribute( name.replace( rcase, "-$&" ).toLowerCase() );
} else if ( storedValue === true && isFunction( elem[ name ] ) ) {
elem[ name ] = noop;
}
} );

以上代码是jQuery 1.12.3版本中存在漏洞的代码,攻击者可以通过构造恶意上传文件来绕过上面这段代码的限制。攻击成功后,攻击者就可以完全控制网站或者服务的整个进程,可能会导致严重的数据泄露、信息损失等危害性问题。

因此,为了保障网站和服务的安全,开发者们应该尽快升级jQuery版本到最新版本,或者采取其他安全措施,比如过滤上传文件的类型、大小等等。