Ditch JQuery Mobile,敦促安全研究员
开发人员应在发现后迁移远离jQuery Mobile(JQM)跨站脚本(XSS)未扫描的漏洞,但仍然广泛使用平台。
JQM是一个JavaScript库,为智能手机和平板电脑设备提供触摸优化的Web框架。beplay体育能用吗
所有当前版本的框架都很容易受到直接可利用的XSS漏洞,安全研究员Juho Nurminen警告。
这基于DOM的XSS漏洞通过特制的URL来攻击自己。此外,所有当前版本的JQM都包含URL解析器的断开实现。
通过详细地与他的研究结果公开博客文章星期五,Nurminen鼓励开发人员从JQM转向替代平台。
推荐挖掘技术,因为JQM不再积极维护,所以没有修补程序(至少来自其原始开发人员)。
一个有关的Open Redirect相关XSS漏洞在jQuery Mobile中,首先由两年前的研究员Eduardo Vela撰写。
安全性弱点独自没有太多的实用性,因为它只能与其他错误结合使用。
然而,Nurminen建立在这个早期的研究中,并表明有可能利用缺陷在没有储存的XSS攻击的情况下,没有捎带其他错误。
芬兰研究员在12月发现了脆弱性,但在几个月后,只有在几个月后公开的,尽管各种渠道。
他说,他收到了对之前的电子邮件的简短回复 - “似乎值得修复” - 在三月初,其次是他称之为“完全无线电沉默”。
每日SWbeplay2018官网IG.联系了JQuery Mobile进行评论,但我们尚未收到回复。
Nurminen.说过:“部分修复以PRS [PLUT请求]的形式存在,但曾经使它们合并则不太可能,更不用说有新版本。”
