工具分享 | 分享一个jQuery多版本XSS漏洞检测工具

admin
admin
admin
140350
文章
117
评论
2022年4月2日08:32:09评论206 views字数 897阅读2分59秒阅读模式

0x00 前言

最近在搞一个 jQuery v2.1.4 DOM-XSS 漏洞的复现,在网上找了很多Payload都不能用,大多数Payload都只适用于 jQuery v1.x 版本的。
后来看到有个文章说需要Safari浏览器,于是又废了半天劲装了个黑苹果(当时不知道原来Safari浏览器还有Windows版),用Safari浏览器一番折腾依旧没有复现,直到后来在GitHub上找到了这个检测工具,分享出来,避免踩坑。

0x01 工具使用

下载地址:https://github.com/mahp/jQuery-with-XSS

1、下载之后,解压,使用编辑器打开,修改第9行代码,将代码中 src 后的链接修改为自己要验证的js地址链接。

<script type="text/javascript" src="http://yourjquerylink/jquery.min.js"></script>




2、保存之后,使用浏览器打开,然后可以看到3个Demo.


bug-9521bug-11290bug-11974




3、可以依次点击这三个Demo,看看哪个会弹窗,我这里是 jQuery v2.1.4 的版本,在点击 bug-11974 发生了弹窗,说明此版本的漏洞被验证成功了。


工具分享 | 分享一个jQuery多版本XSS漏洞检测工具



4、也可以点击页面中的 test version,来判断自己版本的  jQuery 版本存在的 bug 编号,例如我这里的  jQuery v2.1.4 版本就对应着bug-2432和 bug-11974。


工具分享 | 分享一个jQuery多版本XSS漏洞检测工具



5、知道 bug 编号之后,再来到 test.html 页面点击对应的 bug编号即可。


0x02 小结


以上工具的使用方法是自己慢慢摸索出来的,如有不对的地方欢迎留言批评指正。




本文原文地址:https://teamssix.com/year/200223-231648.html






往期推荐


经验总结 | 解决 BurpSuite Pro v2020.1 版本中文乱码问题


BurpSuite 最新破解专业版,看到这些新功能后我心动了


经验总结 | Python3 Requests 模块请求内容包含中文报错的解决办法


工具分享 | 分享一个jQuery多版本XSS漏洞检测工具





原文始发于微信公众号(TeamsSix):工具分享 | 分享一个jQuery多版本XSS漏洞检测工具

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月2日08:32:09
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   工具分享 | 分享一个jQuery多版本XSS漏洞检测工具https://cn-sec.com/archives/785622.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息