jQuery修复威胁数亿网站的原型污染漏洞,内含PoC代码
摘要:据外媒报道,jQuery近日发布安全更新,修复了一个名为原型污染(prototype pollution)的罕见安全漏洞,该漏洞允许黑客通过某种手段修改JavaScript对象的prototype。黑客可将其控制的prototype注入对象,触发JavaScript异常发动拒绝服务攻击,或篡改应用程序源代码注入黑客的代码路径,最终导致应用程序崩溃或被接管。
据外媒报道,jQuery近日发布安全更新,修复了一个名为原型污染(prototype pollution)的罕见安全漏洞,该漏洞允许黑客通过某种手段修改JavaScript对象的prototype。
图片来源于创客贴
当前74%的网站使用的是jQuery JavaScript库,且其中大多数网站仍使用受该漏洞影响的库1.x和2.x版本。黑客可将其控制的prototype注入对象,触发JavaScript异常发动拒绝服务攻击,或篡改应用程序源代码注入黑客的代码路径,最终导致应用程序崩溃或被接管。
据悉,JavaScript对象可包含基于预定义结构的多个值 (var car={type:"Fiat
