问题描述
- 某些公司的项目可能偶尔会有安全扫描软件去扫描漏洞
- 然后项目中使用了jquery包
- 然后,因为jquery的版本低了
- 导致安全扫描软件提示,版本低,存在漏洞,请升级到高版本
- 但是,高版本的jquery有一些语法发生变化了
- 假若是老项目,会牵一发动全身,会出现一些奇怪的报错
- 就是不太好升级
- 解决方案很简单,直接修改版本号(障眼法)
安全扫描漏洞简要报告
类型 | 描述 |
---|---|
漏洞影响: | 攻击者可以利用这些存在风险的Javascript库,实施XSS等攻击。 |
漏洞概述: | 发现您使用了存在风险的Javascript库,在这些版本的Javascript库中存在一个或多个漏洞。 |
建议解决方案: | 及时升级到最新安全版本。JavaScript库各版本漏洞参考:https://security.snyk.io/package/npm/jquery |
参考链接: | http://www.owasp.org/index.php/Cross_Site_Scripting |
漏洞验证图示: | 如下图: |
扫描简要原理
- 程序会遍历网站sources信息
- 比如,当遇到jquery的时候,读取其头部顶端位置的注释版本号
- 会根据版本号和官方提出的issue的bug漏洞做比较
- 故此提出漏洞报错报告
解决方案
- 可以把jquery下载到本地
- 这样方便直接修改其版本号
- 从而让扫描软件认为这个是高版本低的jquery(实际上其内容还是低版本的)
- 如下图操作
比如这个jquery的2.2.4版本会认为存在漏洞,让升级版本
只需如下修改版本号即可
障眼法解决方案...
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用
。你还可以使用@
来通知其他用户。