問題描述
- 某些公司的項目可能偶爾會有安全掃描軟件去掃描漏洞
- 然後項目中使用了jquery包
- 然後,因為jquery的版本低了
- 導致安全掃描軟件提示,版本低,存在漏洞,請升級到高版本
- 但是,高版本的jquery有一些語法發生變化了
- 假若是老項目,會牽一髮動全身,會出現一些奇怪的報錯
- 就是不太好升級
- 解決方案很簡單,直接修改版本號(障眼法)
安全掃描漏洞簡要報告
| 類型 | 描述 |
|---|---|
| 漏洞影響: | 攻擊者可以利用這些存在風險的Javascript庫,實施XSS等攻擊。 |
| 漏洞概述: | 發現您使用了存在風險的Javascript庫,在這些版本的Javascript庫中存在一個或多個漏洞。 |
| 建議解決方案: | 及時升級到最新安全版本。JavaScript庫各版本漏洞參考:https://security.snyk.io/package/npm/jquery |
| 參考鏈接: | http://www.owasp.org/index.php/Cross_Site_Scripting |
| 漏洞驗證圖示: | 如下圖: |
掃描簡要原理
- 程序會遍歷網站sources信息
- 比如,當遇到jquery的時候,讀取其頭部頂端位置的註釋版本號
- 會根據版本號和官方提出的issue的bug漏洞做比較
- 故此提出漏洞報錯報告
解決方案
- 可以把jquery下載到本地
- 這樣方便直接修改其版本號
- 從而讓掃描軟件認為這個是高版本低的jquery(實際上其內容還是低版本的)
- 如下圖操作
比如這個jquery的2.2.4版本會認為存在漏洞,讓升級版本
只需如下修改版本號即可
障眼法解決方案...
