jQuery 的“原型污染”安全漏洞

2019年04月22日

前两周发布的 jQuery 3.4.0 除了常规更新外,更重要的是修复了一个称为“原型污染(prototype pollution)”的罕见安全漏洞。

什么是原型污染?顾名思义,原型污染就是指攻击者通过某种手段修改 JavaScript 对象的 prototype

JavaScript 对象就跟变量一样,但它不是存储一个值(var car =“Fiat”),而是可以包含基于预定义结构的多个值 (var car ={type:"Fiat", model:"500", color:"white"})。

prototype 定义了 JavaScript 对象的默认结构和默认值,因此在没有为对象赋值时应用程序也不会崩溃。

但如果攻击者从 JavaScript 对象的 prototype 入手,攻击者可通过将其控制的 prototype 注入对象,然后通过触发 JavaScript 异常导致拒绝服务(denial of service),或者篡改应用程序源代码以注入攻击者的代码路径。最终的结果可能就是导致应用程序崩溃或劫持应用程序。

Snyk 团队详细描述了这个新的 jQuery “原型污染”漏洞,其中包含攻击原理和规避方法。“原型污染攻击(CVE-2019-11358)”的概念验证代码点此查看

虽然漏洞比较严重,但好在“原型污染”攻击并不能被大规模利用,因为每段攻击代码必须针对每个目标进行微调。此外,大部分网站并不使用 jQuery 进行重要的操作,主要是用于操作动画中的菜单或创建弹窗等。

最后,如果担心安全问题,建议升级至最新版本 jQuery 3.4.0,毕竟目前大多数网站仍在使用 jQuery 的 1.x 和 2.x 分支,这意味着绝大多数基于 jQuery 的应用程序和网站仍有可能遭受攻击。

展开阅读全文
20 收藏
分享
加载中
精彩评论
现在还在用JQ的我,觉得JQ还可以战未来10年。
2019-04-22 09:46
15
举报
JQ现在主要是后端用了,只要后端还在写界面,jq就还能继续做
2019-04-22 11:56
10
举报
醒醒吧,大清已经亡了
2019-04-22 12:10
4
举报
在Github上有个 You dont need jQuery的项目
https://github.com/nefe/You-Dont-Need-jQuery
2019-04-22 14:32
2
举报

引用来自“dolloyo”的评论

jQuery过气,VanillaJS当立🐶
大清早亡啦,你还在吹
2019-04-22 11:06
2
举报
最新评论 (21)
还在用Jquery1.X的主要是为了兼容性吧,不然谁还用这个
2019-04-24 13:25
0
回复
举报

引用来自“incess”的评论

JQ现在主要是后端用了,只要后端还在写界面,jq就还能继续做

引用来自“彩虹梦”的评论

@incess layui就是一个列子 而且前后分离做权限也不好做

引用来自“incess”的评论

layui是你们后端程序员用的东西,前后分不分离权限的做法都一样。动态传回列表 有什么不好做的。
@incess 要写两个权限路由 麻烦😡
2019-04-24 12:00
0
回复
举报

引用来自“incess”的评论

JQ现在主要是后端用了,只要后端还在写界面,jq就还能继续做

引用来自“彩虹梦”的评论

@incess layui就是一个列子 而且前后分离做权限也不好做
layui是你们后端程序员用的东西,前后分不分离权限的做法都一样。动态传回列表 有什么不好做的。
2019-04-24 09:07
0
回复
举报

引用来自“incess”的评论

JQ现在主要是后端用了,只要后端还在写界面,jq就还能继续做
@incess layui就是一个列子 而且前后分离做权限也不好做
2019-04-23 17:36
0
回复
举报
1.x 2.x 不修复了吗?
2019-04-22 20:44
0
回复
举报
Web Components 说:“你们都!得!死!”
2019-04-22 17:10
0
回复
举报
【如果攻击者从 JavaScript 对象的 prototype 入手】
这个是js都可能遇到的吧
2019-04-22 16:53
0
回复
举报
在Github上有个 You dont need jQuery的项目
https://github.com/nefe/You-Dont-Need-jQuery
2019-04-22 14:32
2
回复
举报
Jq不是前端必备技能��嘛
2019-04-22 13:57
0
回复
举报
jquery 1.8.3 继续战10年。。。
2019-04-22 13:29
0
回复
举报
更多评论
21 评论
20 收藏
分享
在线直播报名
返回顶部
顶部