文章目录
- 前言
- 声明
- 一、jQuery简介
- 二、漏洞描述
- 三、漏洞复现
- 四、整改建议
前言
jQuery-1.7.2 版本存在任意文件读取漏洞,攻击者可通过特定URL地址访问并获取敏感信息。
声明
本篇文章仅作为漏洞复现和技术研究,切勿将攻击手法用于非授权下的渗透攻击行为,出现任何后果与本文作者无关,切记!!!
一、jQuery简介
jQuery是一个快速、简洁的JavaScript框架,是继Prototype之后一个优秀的JavaScript代码库(框架) 于2006年1月由John Resig发布。
jQuery设计的宗旨是 " write Less,Do More" ,即倡导写更少的代码,做更多的事情。它封装JavaScript常用的功能代码,提供一种简便的JavaScript设计模式,优化HTML文档操作、时间处理、动画设计和Ajax交互。
二、漏洞描述
jQuery是一个快速、简洁的JavaScript框架,丰富的Javascript代码库,在其 1.7.2 版本的sys_dia_data_down模块存在任意文件读取漏洞,攻击者可通过前台读取任意文件
