WEB安全漏洞之javascript版本漏洞

最新推荐文章于 2024-05-15 18:18:07 发布
最新推荐文章于 2024-05-15 18:18:07 发布
阅读量1.4w 收藏 3
点赞数 1
分类专栏: WEB安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Agonie_25/article/details/90370004
版权

漏洞说明

在用webinspect或者appscan等工具扫描项目的时候,js版本漏洞(版本过低)是其中比较常见的一个。漏洞说明为:项目使用了存在漏洞的jquery版本,可能会导致跨站脚本攻击(XSS)。
修复该漏洞的方法为更新jquery版本,但有一个问题就是,不同的工具扫描的情况也不同,比如在项目中,我们把jqeury版本升级到v1.11.0,webinspect没有扫描出漏洞,但是AWVS则扫出了漏洞。另外还有兼容性的问题,如果一昧的将jquery版本升级到最新,功能可能会受到很大的影响,比如在将低版本的jquery升级到v1.11.0时,需要注意将代码中使用的live()方法替换为bind()。

修复方案

首先还是建议能升级jquery的话尽量升级,如果升级之后还报这个问题,而且没办法再继续升级的话,可以采用“偷鸡”的方法。基本上在jquery.js中,第一行都是其版本号信息,现在的漏洞扫描工具一般是根据其版本号判断其是否有漏洞,如下:

/*! jQuery v1.7.2 jquery.com | jquery.org/license */

因此可以把版本号更改为更高的版本号或者干脆删除版本号:

/*! jQuery | (c) 2005, 2014 jQuery Foundation, Inc. | jquery.org/license */

这样扫描工具就不会再报该漏洞了。

当然。。我在项目中本身做了XSS攻击的防御,因此这样因为Jquery版本引入的XSS漏洞其实也在后面被修复了,所以问题不大~~

艾苟尼
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
web漏洞之XSS_TEST漏洞实践练习代码
04-25
Web漏洞中的XSS(Cross Site Scripting)攻击是一种常见的安全问题,主要针对Web应用程序。XSS允许攻击者在用户浏览器中注入恶意脚本,从而控制用户的会话、窃取敏感信息或者执行其他恶意操作。本资源"XSS_TEST漏洞...
JQuery跨站脚本漏洞
qq274575499的博客
04-02 1534
jQuery 3.4.0之前版本中存在跨站脚本漏洞,该漏洞源于WEB应用缺少对客户端数据的正确验证。攻击者可利用该漏洞执行客户端代码。
记录一个等保二的项目的漏洞处理
Admans的专栏
07-07 1821
Clickjacking是一种恶意技术,它诱骗 Web 用户点击与用户认为他们正在点击的内容不同的东西,从而可能泄露机密信息或控制他们的计算机,同时 点击看似无害的网页。此外,当用于保护传入或传出网站的敏感信息时,TLS 1.0 不被视为 PCI 数据安全标准 3.2(.1) 定义和要求的“强加密”。Visual Studio 使用此标头的值来确定正在使用的 ASP.NET 版本。找到网站根目录下的Web.config文件,用记事本打开,将 debug 属性更改为 false 以禁用该应用程序的调试。
【React】 打包扫描出现高风险文件 YUI 版本太低 JSEncrypt
最新发布
day day up
05-15 664
漏洞的原因是 YUI 2.9.0 版本存在安全漏洞, 安全软件扫描的依据是注释中包含 yui 的版本
解决jquery-1.11.0.js安全漏洞
人与人之间最小的差别是智商,最大的差别是坚持。
12-25 949
这个文件被扫出安全漏洞有XSS攻击等 ,其中一个比较著名的漏洞是在JQuery 1.6.2版本中发现的。该漏洞被称为”attrFn"漏洞,它允许攻击者通过特殊构造的代码执行任意的JavaScript代码。
csrf漏洞--笔记
m0_59049258的博客
04-09 150
csrf笔记
解决:jquery-1.11.1.min.js红叉问题
weixin_33978044的博客
06-09 932
工程中导入jquery-1.11.1.min.js,工程正常运行。但是jquery-1.11.1.min.js一直显示红叉。 解决方法如下:     红叉的原因是:myeclipse没有去验证它!     选中js文件,右键Myeclipse--ManaValidation--ExcludeResource--(选中全部或者那个js)    ...
Jquery版本冲突
sdzmd的博客
06-27 246
script type="text/javascript"src="js/jquery-1.11.0.min.js">script> script type="text/javascript"src="js/jquey-bigic.js">script> script type="text/javascript">     var j = jQuery.noConflict(true)
解决JSmol中的低版本JQuery带来的XSS漏洞
down_fly的博客
01-29 1282
解决JSmol自带的低版本JQuery带来的xss漏洞
Web安全测试之XSS实例讲解
01-19
Web安全测试之XSS XSS 全称(Cross Site Scripting) 跨站脚本攻击, 是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者...
安全漏洞XSS攻击方法详解
01-26
总结来说,XSS攻击是一种严重的安全威胁,它利用Web应用程序的漏洞,通过注入恶意脚本,影响用户浏览器的行为。理解XSS的工作原理、潜在危害以及防范措施对于维护网络安全至关重要。开发者需要实施严格的输入验证和...
Jquery 1.11.2
02-12
Jquery官网下载的Jquery 1.11.2文件,包括jquery-1.11.2.min.jsjquery-1.11.2.min.map和jquery-1.11.2.js,供有需要但网速太慢的童鞋下载
jQuery1.11.0_20140330_jquery_
10-02
jQuery是一个JavaScript函数库。jQuery是一个轻量级的"写的少,做的多"的JavaScript库。jQuery库包含以下功能: HTML 元素选取 HTML 元素操作 CSS 操作 HTML 事件函数 JavaScript 特效和动画 HTML DOM 遍历和修改 AJAX Utilities
jquery1.11.2
02-24
jQuery JavaScript Library v1.11.2.
jquery-1.11.1.min.js
12-24
绝对放心,快捷方便,保准百分之一百的无毒,接下来不知道说什么了,
JavaScript常见安全漏洞及自动化检测技术
03-23
JavaScript常见安全漏洞2010年12月份,IBM发布了关于Web应用中客户端JavaScript安全漏洞的白皮书,其中介绍了IBM安全研究机构曾做过的JavaScript安全状况调查。样本数据包括了675家网站,其中有财富500强公司的网站...
JavaScript 常见安全漏洞和自动化检测技术
12-02
据IBM X-Force 2011年的报告,40%的世界顶级网站存在JavaScript安全漏洞,这表明开发人员对JavaScript安全性的重视程度远远不够。 JavaScript常见的安全漏洞主要包括基于DOM的跨站脚本(XSS)和重定向攻击。XSS攻击...
jQuery CVE-2019-11358 原型污染漏洞分析和修复建议(min.js压缩文件)
Lichee_Zz的博客
04-26 3595
jQuery CVE-2019-11358 原型污染漏洞分析和修复建议针对min.js压缩文件问题描述jquery.js修复压缩文件修复其余压缩文件对照修改 问题描述 jQuery官方于日前发布安全预警通告,通报了漏洞编号为 CVE-2019-11358的原型污染漏洞。由攻击者控制的属性可被注入对象,之后或经由触发 JavaScript 异常引发拒绝服务,或篡改该应用程序源代码从而强制执行攻击者注...
解决jquery版本过低引发的XSS跨站安全漏洞
热门推荐
kang1011的博客
11-13 1万+
解决jquery版本过低引发的安全漏洞 测试网站是否存在此XSS跨站漏洞: 以google浏览器为例,打开要测试的网站,在Console窗口输入: $.fn.jquery 回车查看版本号 $(“element[attribute=’<img src=123123 οnerrοr=alert(123)>’”); 回车之后会出现弹窗,说明存在XSS跨站漏洞 漏洞原因: 1.x系列版本等于或低于1.12的jQuery,和2.x系列版本等于或低于2.2的jQuery,过滤用户输入数据所使用的
JAVA Web应用常见漏洞与修复建议
12-09
本资源主要探讨了几个常见的安全漏洞,包括跨站脚本(XSS)攻击,特别是存储型XSS,并提供了相应的修复建议。 跨站脚本(XSS)是一种常见的网络攻击方式,分为反射型、DOM型和存储型。存储型XSS是最危险的一种,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值