在回答這個問題之前我們還是先來了解一下啥是jQuery Mobile吧:
jQuery Mobile專案(jQuery框架中的一個元件)是一個基於HTML5的開發框架,在它的幫助下,開發者可以設計出能夠適配目前主流移動裝置和桌面系統的響應式Web站點以及應用程式。實際上,jQuery Mobile不僅可以為主流移動平臺提供jQuery的核心庫,而且它也是一個較為完整統一的jQuery移動UI框架。根據jQuery開發團隊的介紹,目前全球範圍內大約有十五萬個活動站點是採用jQuery Mobile開發的。
在2017年2月的幾個月之前谷歌公司的安全工程師Eduardo Vela正在苦苦尋找內容安全策略(CSP)的繞過方法,但是在研究的過程中他注意到了jQuery Mobile的一種非常有意思的行為。jQuery Mobile會從location.hash屬性中獲取任意的URL地址,然後再用innerHTML來處理這個URL地址所返回的響應,而在某些特定條件下,攻擊者就可以利用它的這種特性來攻擊目標網站。
內因:
1、很多組織並不認為“開放重定向”是一種安全漏洞,而需要注意的是,像谷歌(/search)、YouTube(/redirect)、Facebook(/l.php)、百度(/link)以及雅虎(/ads/pixel)這樣的熱門網站都存在這種安全漏洞。
2、如果修復了該漏洞的話,目前很多正在執行的Web站點和應用程式都將會受到影響,導致該漏洞不會被修復,一直是個資訊保安威脅。
外因:
惡意攻擊者可以利用這一不會被修復的漏洞進行對資訊的竊取來達到自我的目的。
在Vela確認了該漏洞之後,他便立刻將漏洞資訊上報給了jQuery Mobile的開發團隊,但是當開發團隊確認了該漏洞將會給使用者帶來的安全風險之後,Vela卻被告知這個漏洞不會得到修復。致使所有使用jQuery Mobile網站中都會存在一個尚未修復的XSS漏洞(跨站指令碼攻擊漏洞)。
資訊的安全時時刻刻在面臨著威脅,這種情況下我們除了透過資訊保安有關的組織來維護我們的資訊保安,我們自身也要做一些努力比如不訪問風險網站隨時注意賬號安全等來保障自己的資訊保安。
在回答這個問題之前我們還是先來了解一下啥是jQuery Mobile吧:
jQuery Mobile專案(jQuery框架中的一個元件)是一個基於HTML5的開發框架,在它的幫助下,開發者可以設計出能夠適配目前主流移動裝置和桌面系統的響應式Web站點以及應用程式。實際上,jQuery Mobile不僅可以為主流移動平臺提供jQuery的核心庫,而且它也是一個較為完整統一的jQuery移動UI框架。根據jQuery開發團隊的介紹,目前全球範圍內大約有十五萬個活動站點是採用jQuery Mobile開發的。
現在再來好好了解下該事件吧:在2017年2月的幾個月之前谷歌公司的安全工程師Eduardo Vela正在苦苦尋找內容安全策略(CSP)的繞過方法,但是在研究的過程中他注意到了jQuery Mobile的一種非常有意思的行為。jQuery Mobile會從location.hash屬性中獲取任意的URL地址,然後再用innerHTML來處理這個URL地址所返回的響應,而在某些特定條件下,攻擊者就可以利用它的這種特性來攻擊目標網站。
易被攻擊的原因:內因:
1、很多組織並不認為“開放重定向”是一種安全漏洞,而需要注意的是,像谷歌(/search)、YouTube(/redirect)、Facebook(/l.php)、百度(/link)以及雅虎(/ads/pixel)這樣的熱門網站都存在這種安全漏洞。
2、如果修復了該漏洞的話,目前很多正在執行的Web站點和應用程式都將會受到影響,導致該漏洞不會被修復,一直是個資訊保安威脅。
外因:
惡意攻擊者可以利用這一不會被修復的漏洞進行對資訊的竊取來達到自我的目的。
該事件的影響:在Vela確認了該漏洞之後,他便立刻將漏洞資訊上報給了jQuery Mobile的開發團隊,但是當開發團隊確認了該漏洞將會給使用者帶來的安全風險之後,Vela卻被告知這個漏洞不會得到修復。致使所有使用jQuery Mobile網站中都會存在一個尚未修復的XSS漏洞(跨站指令碼攻擊漏洞)。
資訊的安全時時刻刻在面臨著威脅,這種情況下我們除了透過資訊保安有關的組織來維護我們的資訊保安,我們自身也要做一些努力比如不訪問風險網站隨時注意賬號安全等來保障自己的資訊保安。