jQuery最新xss漏洞浅析、复现、修复

jQuery最新xss漏洞浅析、复现、修复
1、xss漏洞的形成和危害
形成：xss漏洞也叫跨站点脚本编制，形成的原因简单说就是 应用程序未对用户可控制的输入正确进行无害化处理，就将其放置到充当 Web 页面的输出中。这可被跨站点脚本编制攻击利用。
在以下情况下会发生跨站点脚本编制 (XSS) 脆弱性：
[1] 不可信数据进入 Web 应用程序，通常来自 Web 请求。
[2] Web 应用程序动态生成了包含此不可信数据的 Web 页面。
[3] 页面生成期间，应用程序不会禁止数据包含可由 Web 浏览器执行的内容，例如 JavaScript、HTML 标记、HTML 属性、鼠标事件、Flash 和 ActiveX。
[4] 受害者通过 Web 浏览器访问生成的 Web 页面，该页面包含已使用不可信数据注入的恶意脚本。
[5] 由于脚本来自 Web 服务器发送的 Web 页面，因此受害者的 Web 浏览器在 Web 服务器的域的上下文中执行恶意脚本。
[6] 这实际违反了 Web 浏览器的同源策略的意图，该策略声明一个域中的脚本不应该能够访问其他域中的资源或运行其他域中的代码。
危害：一旦注入恶意脚本后，攻击者就能够执行各种恶意活动。攻击者可能将私有信息（例如可能包含会话信息的 cookie）从受害者的机器传输给攻击者。攻击者可能以受害者的身份将恶意请求发送到 Web 站点，如果受害者具有管理该站点的管理员特权，这可能对站点尤其危险。
网络钓鱼攻击可用于模仿可信站点，并诱导受害者输入密码，从而使攻击者能够危及受害者在该 Web 站点上的帐户。最后，脚本可利用 Web 浏览器本身中的脆弱性，可能是接管受害者的机器（有时称为“路过式入侵”）。

主要有三种类型的 XSS：
类型 1：反射的 XSS（也称为“非持久性”）
服务器直接从 HTTP 请求中读取数据，并将其反射回 HTTP 响应。在发生反射的 XSS 利用情况时，攻击者会导致受害者向易受攻击的 Web 应用程序提供危险内容，然后该内容会反射回受害者并由 Web 浏览器执行。传递恶意内容的最常用机制是将其作为参数包含在公共发布或通过电子邮件直接发送给受害者的 URL 中。以此方式构造的 URL 构成了许多网络钓鱼方案的核心，攻击者借此骗取受害者的信任，使其访问指向易受攻击的站点的 URL。在站点将攻击者的内容反射回受害者之后，受害者的浏览器将执行该内容。

类型 2：存储的 XSS（也称为“持久性”）
应用程序在数据库、消息论坛、访问者日志或其他可信数据存储器中存储危险数据。在以后某个时间，危险数据会读回到应用程序并包含在动态内容中。从攻击者的角度来看，注入恶意内容的最佳位置是向许多用户或特别感兴趣的用户显示的区域。感兴趣的用户通常在应用程序中具有较高的特权，或者他们会与对攻击者有价值的敏感数据进行交互。如果其中某个用户执行恶意内容，那么攻击者就有可能能够以该用户的身份执行特权操作，或者获取对属于该用户的敏感数据的访问权。例如，攻击者可能在日志消息中注入 XSS，而管理员查看日志时可能不会正确处理该消息。

类型 3：基于 DOM 的 XSS
在基于 DOM 的 XSS 中，客户机执行将 XSS 注入页面的操作；在其他类型中，注入操作由服务器执行。基于 DOM 的 XSS 中通常涉及发送到客户机的由服务器控制的可信脚本，例如，在用户提交表单之前对表单执行健全性检查的 Javascript。如果服务器提供的脚本处理用户提供的数据，然后将数据注入回 Web 页面（例如通过动态 HTML），那么基于 DOM 的 XSS 就有可能发生。以下示例显示了在响应中返回参数值的脚本。
2、jQuery最新xss漏洞浅析、复现
2.1 环境搭建
对于此漏洞原作者搭建了在线环境，内置了三个xss poc，点击Append via .html()按钮即可触发xss
环境链接：https://vulnerabledoma.in/jquery_htmlPrefilter_xss.html

2.2 源码分析
先用第一个红框模拟个开发环境，虽然三个poc都使用了包含onerror事件的img标签，但其实它们是放在属性或style元素内部，因此会绕过HTML清理器。

审查元素发现，点击之后会多出现一个闭合标签，就成功执行了后面的弹窗脚本。

2.3 漏洞解析
形成此漏洞的关键是，在html()方法中，作为参数传递的HTML字符串将传递到$.htmlPrefilter()方法,这个方法用于替换自闭合标签，如将 替换为 ，3.x版本之前使用的正则会将x"识别为标签并新增闭合标签，从而达到xss的效果。

2.4漏洞修复
1、更新jQuery到3.5.0或更高版本
2、使用XSS清理工具清理用户输入的HTML
清理工具地址：https://github.com/cure53/DOMPurify