jQuery 3.5.0 ได้ปิดช่องโหว่ Cross-site Scripting (XSS) ลงเป็นที่เรียบร้อยแล้ว

jQuery 3.5.0 ได้ปิดช่องโหว่ Cross-site Scripting (XSS) ลงเป็นที่เรียบร้อยแล้ว

jQuery 3.5.0 ได้ปิดช่องโหว่
jQuery 3.5.0 ได้ปิดช่องโหว่ Cross-site Scripting ไม่นานมานี้ Masato Kinugawa แฮกเกอร์ชาวญี่ปุ่นได้ค้นพบช่องโหว่ Cross-site scripting (XSS) ในตัวระบบ jQuery ซึ่งเขาได้อธิบายว่าสามารถทำได้โดยการใช้ Regex operation ในตัว jQuery.htmlPrefilter
Cross-site Scripting ชื่อย่อว่า XSS โดยเว็บแอปพลิเคชันที่มีช่องโหว่ประเภทนี้ อนุญาตให้ผู้ไม่หวังดีสามารถใส่ JavaScript ให้ทำงานภายใต้ Domain ของเป้าหมาย ดังนั้น ผู้ไม่หวังดีสามารถใช้ XSS เพื่อขโมยข้อมูลของผู้ใช้งานคนอื่นได้
อ้างอิง : https://blog.tamacorp.co/xss/
เดิมที jQuery.htmlPrefilter จะคอยตรวจสอบว่าในตัว Closing tags ทั้งหมดนั้นเป็นไปตามมาตรฐานของ XHTML ตัวอย่างเช่น  jQuery(”
“) จะถูกเปลี่ยนเป็น jQuery(”
” อย่างไรก็ตาม มีการค้นพบว่า Regex นี้สามารถใช้ในการโจมตีแบบ XSS ได้

ซึ่งใน jQuery 3.5.0 ที่ได้รับการอัปเดตล่าสุด ทางผู้พัฒนาได้ทำการแก้ไขอุดช่องโหว่นี้เป็นที่เรียบร้อยแล้ว โดยฟังก์ชัน jQuery.htmlPrefilter จะไม่ใช้ Regex และปล่อยให้ค่า String นั้นยังถูกคงค่าเดิมเอาไว้
อย่างไรก็ตาม เมื่ออัปเดตแล้วโค้ดเดิมที่ใช้การทำงานของ jQuery.htmlPrefilter อาจจะเกิดข้อผิดพลาดขึ้นได้ ซึ่งทางผู้พัฒนาได้แนะนำให้ใช้ปลั๊กอิน jQuery migrate เพื่ออ้างอิงโค้ดใหม่อีกครั้ง แทงหวยออนไลน์

ความคิดเห็น

แสดงความคิดเห็น

โพสต์ยอดนิยมจากบล็อกนี้

Intel เปิดตัวมาตรฐาน Thunderbolt 4 ต่อจอ 4K ได้พร้อมกันสองจอแล้ว รองรับสูงสุดถึง 8K

รูปภาพ
Intel เปิดตัวมาตรฐาน Thunderbolt 4 ต่อจอ 4K ได้พร้อมกันสองจอแล้ว รองรับสูงสุดถึง 8K Intel แอบเผยรายละเอียดของ Thunderbolt 4 ไปในงาน CES 2020 แต่ยังไม่มีอะไรที่ดูน่าสนใจเพราะความเร็วในการโอนถ่ายข้อมูลยังอยู่ที่ 40Gbps เท่าเดิม แต่ล่าสุด Intel ได้ออกมาเปิดตัวเทคโนโลยี Thunderbolt 4 อย่างเป็นทางการ พร้อมกับความสามารถที่น่าสนใจอย่างการใช้สายเส้นเดียวต่อออกจอนอกที่ความละเอียด 4K ได้สองจอ! ความสามารถใหม่ใน Thunderbolt 4 ที่น่าสนใจ รองรับการเชื่อมต่อจอ external ด้วยความละเอียด 4K สูงสุดสองจอ / 8K สูงสุดหนึ่งจอ จัดเก็บข้อมูลผ่าน PCie ความเร็วถึง 32Gbps (Thunderbolt 3 แค่ 16Gbps) เร็วสูงสุด 3000Mbps ความเร็วในการโอนถ่ายข้อมูลปกติ 40Gbps ด้วยความยาวสายสูงสุด 2 เมตร ความเร็วในการโอนถ่ายข้อมูลผ่าน USB 3.2 10Gbps รองรับการชาร์จไฟ 15W เพิ่ม DMA Protection และแน่นอนว่าหากคุณใช้อุปกรณ์ Thunderbolt 3 อยู่ ก็ไม่จำเป็นต้องอัปเกรดเป็นอุปกรณ์รุ่นใหม่ที่ใช้ Dock แบบ Thunderbolt 4 ที่จะออกมาในอนาคต (นอกเสียจากว่าอยากใช้ความสามารถของ Thunderbolt 4) เพราะมันรองรับการใช้งานร่วมกันได้ปกติ ซึ่...
อ่านเพิ่มเติม

ดัชนีฮั่งเส็งเปิดลบ 748.48 จุด วิตก ‘ทรัมป์’ ทำสงครามการค้าจีนรอบใหม่

รูปภาพ
ดัชนีฮั่งเส็งเปิดลบ 748.48 จุด วิตก ‘ทรัมป์’ ทำสงครามการค้าจีนรอบใหม่ ดัชนีฮั่งเส็งเปิดลบ ดัชนีฮั่งเส็งตลาดหุ้นฮ่องกงเปิดปรับตัวลงในวันนี้ เนื่องจากนักลงทุนวิตกเกี่ยวกับความตึงเครียดระหว่างสหรัฐและจีน หลังจากประธานาธิบดีโดนัลด์ ทรัมป์ ขู่ที่จะเก็บภาษีนำเข้าสินค้าจีนรอบใหม่เพื่อตอบโต้จีนที่เป็นต้นตอของไวรัสโควิด-19 ซึ่งแพร่ระบาด และส่งผลกระทบต่อเศรษฐกิจทั่วโลก 7m บ้านผลบอล ufabet สำนักข่าวซินหัวรายงานว่า ดัชนีฮั่งเส็งเปิดลดลง 748.48 จุด หรือ -3.04% แตะที่ 23,895.11 จุด
อ่านเพิ่มเติม

รวมฟีเจอร์ลับสุดยอดที่ Apple ไม่ได้พูดถึง ใน iOS 14 มีแต่เด็ด ๆ ทั้งนั้นเลยนะ!!

รูปภาพ
รวมฟีเจอร์ลับสุดยอดที่ Apple ไม่ได้พูดถึง ใน iOS 14 มีแต่เด็ด ๆ ทั้งนั้นเลยนะ!! เมื่อวานนี้ Apple ได้เปิดตัว iOS 1 4 ในคีย์โน้ตเปิดตัวผลิตภัณฑ์ ในงานประชุมใหญ่ WWDC 2020 มีฟีเจอร์ที่เปิดตัวใหม่ ๆ มากมาย เช่น วิตเจ็ต (Widgets), คลังแอป (App Library), ความสามารถใหม่ในแอปข้อความ แผนที่ และอื่น ๆ อีกมากมาย แต่ก็ยังมีฟีเจอร์เด็ด ๆ ที่ยังไม่ถูกพูดถึงในงานเปิดตัวที่ผ่านมา ตามคอนเซ็ปต์งานนี้ เน้นด้านความปลอดภัยของผู้ใช้เป็นหลัก คีย์บอร์ด ตัวเลือกอิโมจิ  – ต่อจากนี้การค้นหาอิโมจิจะเป็นเรื่องง่ายขึ้น เพียงเราค้นหาคำค้นหา (Keywords) ของอิโมจิรูปนั้น ๆ เช่น ยิ้ม, รัก, สวัสดี, โอเค, และ 555 (หัวเราะ) <- (คำนี้ไปอยู่ในระบบได้ไงเนี่ย!?!) จากนั้นระบบจะขึ้นรูปอิโมจิที่ตรงกับคำค้นหานั้น ๆ มาให้เราเลือกกันได้เลย ง่ายกว่าเดิมตั้งเยอะ สิทธ์การเข้าถึง รูปภาพ  – ระบบจะให้ผู้ใช้เลือกให้สิทธิ์การเข้าถึงแค่บางรูปได้ หรือทุกรูป แทนการให้สิทธิ์ในการเข้าถึงไฟล์รูปทั้งหมด เครือข่ายภายใน (Local Network)  – ระบบจะขอสิทธิ์จากผู้ใช้ในการเข้าถึงเครือข่ายภายในของผู้ใช้งาน เพื่อค้นหาแล...
อ่านเพิ่มเติม