标签: jQuery

JS 框架安全报告:jQuery 下载次数超过 1.2 亿次

尽管 JavaScript 库 jQuery 仍被使用,但它已不再像以前那样流行。根据开源安全平台 Snyk 统计,目前至少十分之六的网站受到 jQuery XSS 漏洞的影响,甚至用于扩展 jQuery 功能的 jQuery 库还引入了更多的安全问题。 Snyk 发布了 2019 年 JavaScript 框架的状态安全报告,该报告主要是对两个领先的 JavaScript 框架(Angular 和 React)进行安全审查,但同时还调查了其他三个前端 JavaScript 生态系统项目的安全漏洞:Vue.js、Bootstrap 和 jQuery 等。 报告显示,在过去 12 个月中,jQuery 的下载次数超过 1.2 亿次,相当于 Vue.js(4000 万次)和 Bootstrap(7900 万次)加起来的下载次数。在报告中,Vue.js 被发现漏洞有四个,但已全部修复;Bootstrap 包含七个跨站点脚本(XSS)漏洞,其中有三个是在 2019 年披露的,目前没有任何安全修复或升级途径来避免;而在 jQuery 中,迄今为止被跟踪影响到所有版本的六个漏洞,其中四个属于中等级别的跨站点脚本漏洞,一个属于中等级别的原型污染漏洞(Prototype Pollution),另一个是低级别的拒绝服务漏洞。 Snyk 报告的结论是,如果你使用 jQuery 3.4.0 以下版本,则容易遭受攻击。 而根据 W3Techs 的数据,使用 jQuery v1.x 的网站占了 84%,这导致它们存在四个中等级别的 XSS 漏洞隐患,使用 jQuery 扩展库(其中 13 个已识别漏洞)会加剧这种情况。 在 Snyk 报告中,jquery.js 是一个恶意包,过去 12 个月中被下载了 5444 次,它的严重程度与其他两个开源社区模块的恶意版本一样高( jquery-airload 322 次下载和 github-jquery-widget 232 次下载)。 报告还列出另外三个扩展库:jquery-mobile、jquery-file-upload 和 jquery-colorbox,虽然其中包含任意代码执行和跨站点脚本安全漏洞,且没有任何升级途径可修补这些漏洞,但它们还是在过去 12 个月中总共下载了 34 万次以上。 近年来有人认为 jQuery 不再流行,而根据报道目前它仍有高下载量,原因可能如下: 目前它还有大量教程、现有网站及软件等都是使用 jQuery 相关的插件非常丰富,很多新出的 js 框架也支持 jQuery 大量的程序员用过 jQuery,熟悉它的语法和功能,后期也会继续使用   (稿源:开源中国,封面源自网络。)

jQuery 的“原型污染”安全漏洞

前两周发布的 jQuery 3.4.0 除了常规更新外,更重要的是修复了一个称为“原型污染(prototype pollution)”的罕见安全漏洞。 什么是原型污染?顾名思义,原型污染就是指攻击者通过某种手段修改 JavaScript 对象的 prototype。 JavaScript 对象就跟变量一样,但它不是存储一个值(var car =“Fiat”),而是可以包含基于预定义结构的多个值 (var car ={type:”Fiat”, model:”500″, color:”white”})。 prototype 定义了 JavaScript 对象的默认结构和默认值,因此在没有为对象赋值时应用程序也不会崩溃。 但如果攻击者从 JavaScript 对象的 prototype 入手,攻击者可通过将其控制的 prototype 注入对象,然后通过触发 JavaScript 异常导致拒绝服务(denial of service),或者篡改应用程序源代码以注入攻击者的代码路径。最终的结果可能就是导致应用程序崩溃或劫持应用程序。 Snyk 团队详细描述了这个新的 jQuery “原型污染”漏洞,其中包含攻击原理和规避方法。“原型污染攻击(CVE-2019-11358)”的概念验证代码点此查看。 虽然漏洞比较严重,但好在“原型污染”攻击并不能被大规模利用,因为每段攻击代码必须针对每个目标进行微调。此外,大部分网站并不使用 jQuery 进行重要的操作,主要是用于操作动画中的菜单或创建弹窗等。 最后,如果担心安全问题,建议升级至最新版本 jQuery 3.4.0,毕竟目前大多数网站仍在使用 jQuery 的 1.x 和 2.x 分支,这意味着绝大多数基于 jQuery 的应用程序和网站仍有可能遭受攻击。   (稿源:开源中国,封面源自网络。)

JS 第三方库 “jQuery” 的官方博客遭黑客篡改,代码库暂不受影响

据外媒 10 月 26 日报道,继 JS 挖矿引擎 CoinHive 被黑后, jQuery 的官方博客(blog.jquery.com)于近期遭网名为 “str0ng” 和 “n3tr1x” 的黑客篡改。目前,虽然没有证据表明存放在主机系统文件的服务器已遭黑客入侵,但可以确定黑客通过  jQuery 管理人员 Leah Silber 的账号发布了一篇诋毁官网的文章(如下图)。 调查显示,由于 jQuery 官方博客使用了 WordPress 平台的内容管理系统(CMS),因此黑客还有可能通过 WordPress 已知或零日漏洞获取未经授权访问权限。 jQuery 团队在发现博客官网被黑后立即删除了黑客所发布的帖子。 研究人员表示,由于数百万网站直接由 jQuery 服务器调用脚本,因此该攻击活动可能导致的后果更为糟糕。另外,这已经不是 jQuery 网站第一次受到攻击。据报道,jQuery 主要域名(jQuery.com)曾于 2014 年遭黑客入侵,其网站访问者被重定向至恶意页面。 原文作者:Swati Khandelwal,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。