问题描述

  • 某些公司的项目可能偶尔会有安全扫描软件去扫描漏洞
  • 然后项目中使用了jquery包
  • 然后,因为jquery的版本低了
  • 导致安全扫描软件提示,版本低,存在漏洞,请升级到高版本
  • 但是,高版本的jquery有一些语法发生变化了
  • 假若是老项目,会牵一发动全身,会出现一些奇怪的报错
  • 就是不太好升级
  • 解决方案很简单,直接修改版本号(障眼法)

安全扫描漏洞简要报告

类型描述
漏洞影响:攻击者可以利用这些存在风险的Javascript库,实施XSS等攻击。
漏洞概述:发现您使用了存在风险的Javascript库,在这些版本的Javascript库中存在一个或多个漏洞。
建议解决方案:及时升级到最新安全版本。JavaScript库各版本漏洞参考:https://security.snyk.io/package/npm/jquery
参考链接:http://www.owasp.org/index.php/Cross_Site_Scripting
漏洞验证图示:如下图:

image.png

扫描简要原理

  • 程序会遍历网站sources信息
  • 比如,当遇到jquery的时候,读取其头部顶端位置的注释版本号
  • 会根据版本号和官方提出的issue的bug漏洞做比较
  • 故此提出漏洞报错报告

解决方案

  • 可以把jquery下载到本地
  • 这样方便直接修改其版本号
  • 从而让扫描软件认为这个是高版本低的jquery(实际上其内容还是低版本的)
  • 如下图操作

比如这个jquery的2.2.4版本会认为存在漏洞,让升级版本

只需如下修改版本号即可

障眼法解决方案...

水冗水孚
1.1k 声望585 粉丝

每一个不曾起舞的日子,都是对生命的辜负


引用和评论

0 条评论