大家好,感谢邀请,今天来为大家分享一下漏洞网站源码分享的问题,以及和网站源码漏洞检测的一些困惑,大家要是还不太明白的话,也没有关系,因为接下来将为大家分享,希望可以帮助到大家,解决大家的问题,下面就开始吧!
图片来源于创客贴
当前74%的网站使用的是jQueryJavaScript库,且其中大多数网站仍使用受该漏洞影响的库1.x和2.x版本。黑客可将其控制的prototype注入对象,触发JavaScript异常发动拒绝服务攻击,或篡改应用程序源代码注入黑客的代码路径,最终导致应用程序崩溃或被接管。
据悉,JavaScript对象可包含基于预定义结构的多个值(varcar={type:”Fiat”,model:”500″,color:”white”}),且prototype定义了JavaScript对象的默认结构和默认值,因此即使没有为对象赋值,应用程序也不会崩溃。
图片来源于pixabay
值得庆幸的是,大部分网站主要将jQuery用于操作动画菜单或创建弹窗,且每段攻击代码均需根据目标进行微调,因此该漏洞并不能被大规模利用。
截至目前,研究人员已发布该漏洞的概念验证PoC代码(https://github.com/jquery/jquery/pull/4333),其中包含攻击原理和规避方法。专家建议用户升级至最新版本jQuery3.4.0以保护网站和应用程序。
END,本文到此结束,如果可以帮助到大家,还望关注本站哦!