linuxsir首页 LinuxSir.Org | Linux、BSD、Solaris、Unix | 开源传万世,因有我参与欢迎您!
网站首页 | 设为首页 | 加入收藏
您所在的位置:主页 > Linux基础建设 >

jQuery的“原型污染”安全漏洞

时间:2019-04-24  来源:未知  作者:admin666
前两周发布的 jQuery 3.4.0 除了常规更新外,更重要的是修复了一个称为“原型污染(prototype pollution)”的罕见安全漏洞。

什么是原型污染?顾名思义,原型污染就是指攻击者通过某种手段修改 JavaScript 对象的 prototype。

JavaScript 对象就跟变量一样,但它不是存储一个值(var car =“Fiat”),而是可以包含基于预定义结构的多个值 (var car ={type:"Fiat", model:"500", color:"white"})。

prototype 456棋牌定义了 JavaScript 对象的默认结构和默认值,因此在没有为对象赋值时应用程序也不会崩溃。

但如果攻击者从 JavaScript 对象的 prototype 入手,攻击者可通过将其控制的 prototype 注入对象,然后通过触发 JavaScript 异常导致拒绝服务(denial of service),或者篡改应用程序源代码以注入攻击者的代码路径。最终的结果可能就是导致应用程序崩溃或劫持应用程序。

Snyk 团队详细描述了这个新的 jQuery “原型污染”漏洞,其中包含攻击原理和规避方法。“原型污染攻击(CVE-2019-11358)”的概念验证代码点此查看。

虽然漏洞比较严重,但好在“原型污染”攻击并不能被大规模利用,因为每段攻击代码必须针对每个目标进行微调。此外,大部分网站并不使用 jQuery 进行重要的操作,主要是用于操作动画中的菜单或创建弹窗等。

最后,如果担心安全问题,建议升级至最新版本 jQuery 3.4.0,毕竟目前大多数网站仍在使用 jQuery 的 1.x 和 2.x 分支,这意味着绝大多数基于 jQuery 的应用程序和网站仍有可能遭受攻击。

友情链接
  • Panfrost DRM驱动程序被添加到Linux 5.2用于Midgard/Bifrost图形
  • Linux 5.2引入了现场总线子系统
  • JITLink被合并LLVM代码库
  • Oracle的Ksplice实时内核补丁可以检测到已知的漏洞
  • SuperTuxKart 1.0 发布,开源Linux赛车游戏
  • intel i40e驱动程序支持Linux 5.2的动态设备个性化
  • Android Studio 3.4发布,支持Android Q Beta和Intellij 2018.3.
  • Mozilla为Windows版的Firefox Nightly提供原生画中画功能
  • Linux 5.1为全屏选择键盘映射,切换显示键
  • NULL TTY驱动程序将出现在Linux 5.2内核中
  • Qt 6可能会放弃它们短暂的通用Windows平台支持
  • Crystal 0.28.0 发布,改进的语言、范围、库查找等
  • AMDGPU在Linux 5.2之前还有另一轮更新
  • 2019年,大多数Linux发行版仍然没有限制Dmesg的访问
  • Mesa的Vulkan驱动程序将在19.1分支之前完成更多的扩展工作
  • NVIDIA 418.52.05 Linux驱动程序为非RTX GPU带来Vulkan光线追踪
  • FreeBSD映像重新与ZFS On Linux的代码进行测试
  • 在微软基于Chromium的新Edge浏览器中试用阅读模式
  • 优麒麟19.04正式版发布,激流勇进,精益求精!
  • ZFS的提示已经让我们对Ubuntu 19.10充满了期待
  • Microsoft Edge 75 Dev现在可供下载
  • 微软发布全新开源编程语言Bosque,以Functors取代Loop循环
  • Zstd 1.4 发布,更好的压缩/解压缩性能
  • VIRTIO 1.1 发布,2D图形支持,Evdev输入设备
  • Ubuntu 19.10代号将以Eoan开头,与黎明或东方有关
  • VirtualBox 6.0.6发布,支持Linux 5.0和Linux 5.1内核
  • LibreOffice 6.2.3 Office套件发布,90多个Bug修复
  • KDE Applications 19.04开源软件套件已正式发布
  • Google可能会通过Google Play商店分发Android系统更新
  • Mozilla WebThings不再是一个实验
  • Ubuntu 19.04 (Disco Dingo) 正式发布,提供所有官方口味ISO映像
  • NoScript for Chrome现已推出
  • RedHat接管了Oracle的OpenJDK 8和OpenJDK 11项目的管理权
  • WPS 2019 更新版(8392)发布,搭配优麒麟 19.04 运行更奇妙!
  • Platform9开源Klusterkit,以简化Kubernetes集群的部署和操作
  • Proton 4.2
  • 鼎盛娱乐
  • 腾乐博
  • 手机彩票app哪个好
  • 澳门葡京网址
  • 网上轮盘