¿Este código es vulnerable a XSS basado en dom?

0

¿Este código es vulnerable a XSS basado en DOM?

La aplicación está utilizando jQuery 3.3.1 y noté que se leen los datos

window.location.hash y se pasa a $() a través de las siguientes declaraciones:

var hash = window.location.hash.substring(1);
var elem = $('#reports_nav_links .' + hash);

El enlace que tengo es algo así como /graph#injection-point

Cada parámetro que inserto después del símbolo de hash produce el siguiente error en la consola del navegador:

Error: Syntax error, unrecognized expression: #reports_nav_links .injection-point

¿Qué carga útil podría usar para activar un cuadro de alerta o ejecutar cualquier código JS? ¿Es este código vulnerable o 100% seguro?

    
pregunta Jamyzed 20.12.2018 - 18:27
fuente

1 respuesta

0

El fragmento que pegó arriba no es vulnerable a la vulnerabilidad de jQuery XSS que probablemente tenga en mente ( Error # 9521 ) ya que no afecta a la versión 3.3.1 . El error del selector jQuery se corrigió en la versión 1.7 .

    
respondido por el EdOverflow 20.12.2018 - 22:23
fuente

Lea otras preguntas en las etiquetas