CVE-2015-9251

사이트 간 스크립팅
영향
jQuery
<1.12.2 >=1.12.3 <3.0.0
in
jQuery
패치 사용 가능
이 취약점은 HeroDevs에서 제공하는 네버엔딩 지원(NES) 버전에서 수정되었습니다.

재현 단계

Google 보안팀에서 이 중간 수준의 보안 취약점을 보고했습니다. 이 취약점은 콘텐츠 유형이 텍스트/자바스크립트인 경우 $.get()에 대한 타사 인수가 자동 실행되도록 허용합니다.

실제로 $.get()을 사용하는 애플리케이션은 신뢰할 수 없거나 손상된 웹사이트를 쿼리하는 경우 취약합니다.

문제 해결

 이 취약점을 성공적으로 익스플로잇하면 공격자가 민감한 정보를 획득하거나 쿠키를 훔치거나 자바스크립트 또는 HTML 코드를 실행할 수 있습니다. 3.0.0 이전의 jQuery를 사용하는 클라이언트는 즉시 이 버전으로 업그레이드해야 합니다(2.x 브랜치에는 이 수정 사항이 적용되지 않음).

학습 및 예방

크로스 사이트 스크립팅(XSS) 취약점이 발현되는 한 가지 방법은 손상된 웹사이트를 방문하는 것입니다. 이 경우 $.get() 명령은 데이터 또는 보호된 하위 시스템에 액세스하기 위한 코드가 있는 사이트를 방문하는 데 사용됩니다. 브라우저는 자신도 모르게 악성 코드를 실행합니다.

.get()을 사용할 때는 대상 사이트가 알려진 안전한 사이트인지 확인하는 것이 중요하지만, 이것이 항상 가능한 것은 아닙니다. 따라서 대상 사이트에서 얻은 콘텐츠를 이스케이프 처리하는 것이 이러한 익스플로잇을 방지하는 일반적인 방법입니다('이스케이프 처리'는 데이터 위생 처리의 한 형태입니다). 콘텐츠를 이스케이프 처리하는 과정은 코드를 실행할 수 없는 것으로 변환하여 페이로드를 안전하게 만듭니다.

결론

HeroDevs jQuery NES 서비스의 고객이 되면 수정 사항이 적용된 최신 버전의 jQuery를 받을 수 있습니다. 고객은 즉시 알림을 받고 시스템을 쉽게 업데이트할 수 있습니다. 지금 HeroDevs에 연락하여 jQuery에 대한 네버엔딩 지원을 받으세요.

리소스

↪f_200D↩NISTCVE-2015-9251 항목