jQuery-XSS漏洞(CVE-2020-11022/CVE-2020-11023)资源文件介绍
概述
本资源文件提供了关于jQuery-XSS漏洞(CVE-2020-11022/CVE-2020-11023)的详细信息和验证代码。该漏洞存在于大于或等于1.2且在3.5.0之前的jQuery版本中,即使执行了消毒(sanitize)处理,也仍会执行将来自不受信任来源的HTML传递给jQuery的DOM操作方法(即html()、append()等),从而导致XSS漏洞。
漏洞版本
- 受影响版本:大于或等于1.2且在3.5.0之前的jQuery版本
漏洞验证
本资源文件包含了一个验证漏洞的payload代码,用户可以通过修改代码中的js路径来验证漏洞是否存在。具体步骤如下:
- 找到存在漏洞的js文件。
- 打开资源文件中的payload代码,将js地址替换为实际的js文件地址。
- 将修改后的html文件直接打开或放入www目录中打开。
- 点击相应的按钮即可验证漏洞。
修复建议
- 更新jQuery到3.5.0或更高版本。
- 使用XSS清理工具清理用户输入的HTML。
注意事项
- 请勿使用本文提到的内容违反法律。
- 本文不提供任何担保。
参考资料
本文内容参考了CSDN博客上的相关文章,详细信息请参阅原文。