安全漏洞:检测到目标站点存在javascript框架库漏洞

最新推荐文章于 2024-04-17 14:13:24 发布
最新推荐文章于 2024-04-17 14:13:24 发布
阅读量9.6k 收藏 2
点赞数 1
分类专栏: nuxt.js 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a1368783069/article/details/113384006
版权

将用若依框架开发的后台管理系统代码使用绿盟安全检测,结果:检测到目标站点存在javascript框架库漏洞。

如图:
在这里插入图片描述

网上针对这个问题一般都是说jquery 版本过低,升级版本就行,但是若依中并没有使用 jquery。
或者将 cookie 改成 localstorage 若依框架中的确是用了 js-cookie。

将cookie 改为 localStorage 后, 该问题还是存在。

根据安全检测结果,找到风险最高的页面: static/js/chunk-2d0d6345.e4d18775.js 。

解决方法(时间过的有点久,只记得思路):

1、网上说是加密文件有问题:rsa加密jsencrypt
2、打开以上js文件, 可以在js中看到使用的加密方法
3、解决方法
在这里插入图片描述

所以 npm 安装了jsencrypt后 不要直接: import jsencryptf rom 'jsencrypt',

正确引入方法: import JSEncrypt from '../utils/jsencrypt.min'
			 在 node_modules 中找到 jsencrypt 的加密包 丢出来 然后单独引入即可

参考文档:
检测到目标站点存在javascript框架库漏洞 (随手记录)
https://blog.csdn.net/weixin_41854372/article/details/109021351

面向未来的历史
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
检测目标url存在客户端(javascript)cookie引用_精确化测试——基于依赖关系的变动检测原理...
weixin_39932838的博客
12-08 2871
背景与动机无论是前端还是客户端,凡涉及到 GUI 的测试,基本都难以实现完全自动化测试。一方面因为 GUI 测试编写或录制的成本较高,第二方面是需求迭代得太快。所以不少公司都需要招聘测试团队,通过人力测试进行保证。但问题是,随着项目越来越大,需要进行回归的用例就越来越多,并且是一个指数级增长的过程,所以往往就只能凭工程师或产品经理的经验,猜测哪些逻辑可能会被影响,而哪些不会有影响。然而这样过于依赖...
检测目标站点存在javascript框架漏洞 绿盟 web
热门推荐
jingleifan的博客
05-30 2万+
详细描述 JavaScript 框架是一组能轻松生成跨浏览器兼容的 JavaScript 代码的工具和函数。如果网站使用了存在漏洞JavaScript 框架,攻击者就可以利用此漏洞来劫持用户浏览器,进行挂马、XSS、Cookie劫持等攻击 解决办法 将受影响的javascript框架升级到最新版本 威胁分值 6 危险插件 否 发现日期 2001-0...
Javascript框架漏洞验证,劲爆
最新发布
04-17 523
经常看到漏扫扫出来这个漏洞,查看了网上好多文章都没有正确的验证方法都在扯淡。今天我来点干货记录一下这个漏洞到底是怎么触发JS生成XSS的,也方便后面漏洞验证报告的书写。AWVS扫出来的JS框架漏洞RSAS扫出来的JS框架漏洞
安全扫描:检测目标站点存在javascript框架漏洞
qq_42522803的博客
02-08 3321
检测目标站点存在javascript框架漏洞的解决方法
Web安全问题记录以及解决方案
蒋小姐的博客
02-04 1822
当登录时,接口返回token作为所有接口登录的凭证,web端保存token,一般用cookie的方法。查资料发现这种保存方式存在漏洞。至于页面上的数据,全局查询cookie,存放在。jquery版本过低。
JavaScript 常见安全漏洞和自动化检测技术
12-02
前言 随着 Web2.0 的发展以及 Ajax 框架的普及,富客户端 Web 应用(Rich Internet Applications,RIA)日益增多,越来越多的逻辑已经开始从服务器端转移至客户端,这些逻辑通常都是使用 JavaScript 语言所编写。但遗憾的是,目前开发人员普遍不太关注 JavaScript 代码的安全性。据 IBM X-Force 2011 年中期趋势报告揭示,世界五百强的网站及常见知名网站中有 40% 存在 JavaScript 安全漏洞。本文将结合代码向读者展示常见 JavaScript 安全漏洞,旨在帮助读者能够在日常编码工作中规避这些安全漏洞。此外,客户端 J
js页面检测目标站点存在javascript框架漏洞
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
01-28 1万+
一、概述 在系统验收前安全检查时,绿盟检查到系统存在页面检测目标站点存在javascript框架漏洞,如下所示: 二、分析处理 这个漏洞是绿盟扫描比较常见的一个漏洞,原因就是jquery版本过低。升级到3.3以上就可以了。 建议升级jquery,但盲目升级会导致网站部分插件不可用;本项目采用spring架构,建议处理: 1)、根据web应用漏洞,找到详情页,里面有具体的路径信息。从路径中找到该文件; 2)、注释掉版本信息; 3)、用最高版本信息代替。 如果是vue项目,你再里面引用了js-cookie
Vue项目绿盟RSAS漏扫,检测目标站点存在javascript框架漏洞
qq_36449635的博客
08-31 2580
Vue项目绿盟RSAS漏扫,检测目标站点存在javascript框架漏洞 出现问题可能的原因有: jquery的版本过低。cnpm install jquery 使用jsencrypt进行加密或加签。 在node_modules文件夹中找到jsencrypt相关的文件,将其中YUI的版本号删掉。 使用jsrsasign进行加密或加签。 将jsrasign升级到最新版本或使用jsencrypt来替代。 PS:如何查看package.json中各依赖的最新版本: ## 安装ncu cnpm ins
javascript漏洞-检测目标站点存在javascript框架漏洞
tengtianshan的专栏
03-19 2482
一般是让升级为最新的版本的脚本文件,但是实际使用过程中,有的插件不兼容,盲目升级会导致网站部分插件不可用。 下面是一种解决方案。 比如漏洞扫描出jquery:2.1.4。作以下处理: 一、根据web应用漏洞,找到详情页,里面有具体的路径信息。从路径中找到该文件; 二、注释掉版本信息; 三、用最高版本信息代替。 基本上可以解决【检测目标站点存在javascript框架漏洞】问题。 ...
Javascript客户端存储-cookie
Hoshizola的博客
03-20 707
一、什么是cookie Http cookie通常也叫做cookie,最初用于在客户端存储会话信息。这个规范要求服务器在响应http请求时通过发送Set-CookieHTTP头部包含会话信息。HTTP响应会设置一个名为name,值为value的cookie。名和值在发送时都会经过URL编码。浏览器会存储这些会话信息,并在之后每个请求中都会通过HTTP头部cookie再将它们发回服务器。这些发送回服务器的额外信息可用于唯一标识发送请求的客户端。 1.1 cookie的限制 cookie是与特定域绑定的。设置c
Java包含常见web漏洞测试项目
12-06
一个包含web常见漏洞的maven 项目。JDK8 +springMVC+JDBC+mybatis+mysql。使用Eclipse导入maven项目,用sql创建数据和表,修改数据连接密码。即可运行。有兴趣的可以研究测试。
CookiesjsJavaScript客户端的Cookie操作
08-09
Cookies.js - JavaScript 客户端的Cookie操作
jQuery-1.7.2任意文件读取漏洞验证利用脚本
04-27
jQuery是一个快速、简洁的JavaScript框架,丰富的Javascript代码,在其1.7.2版本的sys_dia_data_down模块存在任意文件读取漏洞,攻击者可通过前台读取任意文件。
asp.net知识
06-18
SQL过程自动C#封装,支持从表到基本存储过程生成 使用SQLDMO控制 SQL Server 使用SQL-DMO实现定制SQL Scripts Create Tables and Build inserts from Tables by using Mygeneration Templates(Sql Server) C# 获取...
第04天:基础入门-WEB源码拓展1
08-03
框架框架应用也有不同风险,框架通常有内置的安全防护,但滥用或不当配置可能导致安全漏洞。 5. **源码获取途径**: 获取源码的方式包括在线搜索、通过二手市场(如咸鱼、淘宝)、访问第三方源码站点,以及...
Web安全学习笔记.pdf
10-22
信息收集是安全工作的重要一环,笔记详细讲解了如何通过域名信息、端口扫描、站点信息收集、搜索引擎利用以及社会工程学等方法来获取目标系统的相关信息。此外,还介绍了利用参考链接进行深入研究的方法。 笔记的...
检测目标站点存在javascript框架漏洞
Java旅途
08-05 1万+
这个漏洞是绿盟扫描比较常见的一个漏洞,原因就是jquery版本过低。升级到3.3以上就可以了。 ——————————重点专用分割线—————————— vue项目并没有所谓的Jquery,为什么还会扫出这个漏洞。 这是因为vue项目里面引用了js-cookie用来存放登录的一些信息了。删除js-cookie重新打包就可以了。至于页面上的数据,那就存放在localstroge就行啦。 具体用法如下: var storage=localStorage; // 存放数据 storage.setItem("ke.
vue报将受影响的javascript框架升级到最新版本。
05-25
对于Vue项目,建议将所有相关的JavaScript框架升级到最新版本,以确保项目的稳定性和安全性。 首先,你可以使用npm-check-updates这个npm包来检查所有依赖包的更新情况,并自动更新到最新版本。使用方法如下: 1. 全局安装npm-check-updates ``` npm install -g npm-check-updates ``` 2. 进入Vue项目的根目录,运行以下命令 ``` ncu -u ``` 该命令会检查所有依赖包的更新情况,并将package.json文件中的版本号更新为最新版本。 3. 运行npm install命令,重新安装所有依赖包。 ``` npm install ``` 此外,你还可以手动更新每个依赖包的版本号,然后运行npm install命令来安装更新后的依赖包。 需要注意的是,升级依赖包可能会导致某些功能不再可用或出现不兼容的情况,因此建议在升级前先备份项目代码和依赖包,以便在出现问题时进行回滚。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值