在以下情况下是否可以使用jQuery的.attr(attributeName,value)方法执行XSS攻击?
给出以下html片段,该片段在html文件中静态键入:
<div id="div001" title="abc">Test</div>
当攻击者可以在以下情况下为变量unsafe_string提供任意值时,是否可以执行XSS攻击:
$('#div001').attr("title", unsafe_string);
我的问题是:是否有可能突破属性值,以便注入并执行某些恶意代码?攻击者只能控制unsafe_string,而没有其他控制权。
例如,我可以观察到
$('#div001').attr("title", '"');
产生
$('#div001').attr("title") = "\""
2 个答案:
答案 0 :(得分:0)
是的,此代码中有许多漏洞:
- 执行
$('#div001').attr("title", unsafe_string);时执行恶意JavaScript
示例:
jsp代码:$('#div001').attr("title", ${unsafe_string});
当unsafe_string值为"");alert('do nasty stuff')
生成js代码:$('#div001').attr("title", "");alert('do nasty stuff')
edit: jQuery通过逃避危险字符来保护您免受这2种攻击
-
在attibute值(标题)中注入恶意javascript
在属性值中 -
注入html
您必须转义不安全的字符串以防止所有这些(也必须在将不安全的字符串保存到应用程序中时验证不安全的字符串)。我建议为此使用现有的安全性库,具体取决于您的技术堆栈。在这里查看更多: https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet
编辑: 4.如果将js代码保存在html文件中,则也容易受到html注入的攻击 示例:jsp代码:
<body>
<script>
$(document).ready(function(){$('#mydiv').attr( "title", ${unsafe_string})});
</script>
<div id="mydiv" title='abc'>
something
</div>
当unsafe_string为字符串 破坏我的网站时
您的页面看起来像
有关如何针对XSS进行测试的更多详细信息,请点击此处:https://www.owasp.org/index.php/Cross-site_Scripting_(XSS)
答案 1 :(得分:0)
不,因为jQuery负责转义unsafe_string的内容,所以不可能突破属性值。通过jQuery的attr()函数将html或javascript代码写入属性值将转义该字符串,并且不会被解释为html或作为javascript代码执行。
可以通过查看$('#div001')[0].outerHTML来检查转义行为。
- XSS攻击是否有可能获得HttpOnly cookie?
- 是否可以对返回JSON对象的URL执行跨站点站点请求伪造攻击?
- ScriptResource.axd攻击有可能吗?
- 是否可以通过样式表进行跨域攻击?
- 这是一个xss攻击,为什么它无效?
- XSS-Attack:设置输入值时是否可以执行JS?
- 在以下情况下是否可以使用jQuery的.attr(attributeName,value)方法执行XSS攻击?
- 是否可以使用jQuery的<img/>标签的.attr(“ src”,value)方法执行XSS攻击?
- 是否可以使用jQuery的.attr(“ href”,value)方法对<a> tags?
- 以下代码段是否容易受到XSS攻击
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?