– 作者:厦门安胜网络科技有限公司

据外媒报道,jQuery近日发布安全更新,修复了一个名为原型污染(prototype pollution)的罕见安全漏洞,该漏洞允许黑客通过某种手段修改JavaScript对象的prototype

image.png

图片来源于创客贴

 

当前74%的网站使用的是jQuery JavaScript库,且其中大多数网站仍使用受该漏洞影响的库1.x和2.x版本。黑客可将其控制的prototype注入对象,触发JavaScript异常发动拒绝服务攻击,或篡改应用程序源代码注入黑客的代码路径,最终导致应用程序崩溃或被接管

 

据悉,JavaScript对象可包含基于预定义结构的多个值 (var car={type:”Fiat”, model:”500″, color:”white”}),且prototype定义了JavaScript对象的默认结构和默认值,因此即使没有为对象赋值,应用程序也不会崩溃。

image.png

图片来源于pixabay

 

值得庆幸的是,大部分网站主要将jQuery用于操作动画菜单或创建弹窗,且每段攻击代码均需根据目标进行微调,因此该漏洞并不能被大规模利用。

 

截至目前,研究人员已发布该漏洞的概念验证PoC代码https://github.com/jquery/jquery/pull/4333),其中包含攻击原理和规避方法。专家建议用户升级至最新版本jQuery3.4.0以保护网站和应用程序。

image.png

图片来源于pixabay

 

来源:http://u6.gg/swrD7,“ISEC安全e站”独家编译,转载请注明出处及本文链接。

 

来源:freebuf.com 0000-00-00 00:00:00 by: 厦门安胜网络科技有限公司

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论