0x00 前言

最近在搞一個(gè) jQuery v2.1.4 DOM-XSS 漏洞的復(fù)現(xiàn)，在網(wǎng)上找了很多Payload都不能用，大多數(shù)Payload都只適用于 jQuery v1.x 版本的。

后來(lái)看到有個(gè)文章說(shuō)需要Safari瀏覽器，于是又廢了半天勁裝了個(gè)黑蘋(píng)果（當(dāng)時(shí)不知道原來(lái)Safari瀏覽器還有Windows版），用Safari瀏覽器一番折騰依舊沒(méi)有復(fù)現(xiàn)，直到后來(lái)在GitHub上找到了這個(gè)檢測(cè)工具，分享出來(lái)，避免踩坑。

0x01 工具使用

下載地址：https://github.com/mahp/jQuery-with-XSS

1、下載之后，解壓，使用編輯器打開(kāi)，修改第9行代碼，將代碼中 src 后的鏈接修改為自己要驗(yàn)證的js地址鏈接。

<script type="text/javascript" src="http://yourjquerylink/jquery.min.js"></script>

2、保存之后，使用瀏覽器打開(kāi)，然后可以看到3個(gè)Demo.

bug-9521 bug-11290 bug-11974

3、可以依次點(diǎn)擊這三個(gè)Demo，看看哪個(gè)會(huì)彈窗，我這里是 jQuery v2.1.4 的版本，在點(diǎn)擊 bug-11974 發(fā)生了彈窗，說(shuō)明此版本的漏洞被驗(yàn)證成功了。

4、也可以點(diǎn)擊頁(yè)面中的 test version，來(lái)判斷自己版本的 jQuery 版本存在的 bug 編號(hào)，例如我這里的 jQuery v2.1.4 版本就對(duì)應(yīng)著 bug-2432和bug-11974。

5、知道 bug 編號(hào)之后，再來(lái)到 test.html 頁(yè)面點(diǎn)擊對(duì)應(yīng)的 bug編號(hào)即可。

0x02 小結(jié)

以上工具的使用方法是自己慢慢摸索出來(lái)的，如有不對(duì)的地方歡迎留言批評(píng)指正。

更多信息歡迎關(guān)注我的個(gè)人微信公眾號(hào)：TeamsSix

本文原文地址：https://teamssix.com/year/200223-231648.html

總結(jié)

以上是生活随笔為你收集整理的【工具分享 】分享一个jQuery多版本XSS漏洞检测工具的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。