据外媒报道,jQuery近日发布安全更新,修复了一个名为原型污染(prototype pollution)的罕见安全漏洞,该漏洞允许黑客通过某种手段修改JavaScript对象的prototype。
图片来源于创客贴
当前74%的网站使用的是jQuery JavaScript库,且其中大多数网站仍使用受该漏洞影响的库1.x和2.x版本。黑客可将其控制的prototype注入对象,触发JavaScript异常发动拒绝服务攻击,或篡改应用程序源代码注入黑客的代码路径,最终导致应用程序崩溃或被接管。
据悉,JavaScript对象可包含基于预定义结构的多个值 (var car={type:”Fiat”, model:”500″, color:”white”}),且prototype定义了JavaScript对象的默认结构和默认值,因此即使没有为对象赋值,应用程序也不会崩溃。
图片来源于pixabay
值得庆幸的是,大部分网站主要将jQuery用于操作动画菜单或创建弹窗,且每段攻击代码均需根据目标进行微调,因此该漏洞并不能被大规模利用。
截至目前,研究人员已发布该漏洞的概念验证PoC代码(https://github.com/jquery/jquery/pull/4333),其中包含攻击原理和规避方法。专家建议用户升级至最新版本jQuery3.4.0以保护网站和应用程序。
图片来源于pixabay
来源:http://u6.gg/swrD7,“ISEC安全e站”独家编译,转载请注明出处及本文链接。
来源:freebuf.com 0000-00-00 00:00:00 by: 厦门安胜网络科技有限公司
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
喜欢就支持一下吧
请登录后发表评论
注册