检测到目标站点存在javascript框架库漏洞 绿盟 web

最新推荐文章于 2024-10-05 07:56:51 发布
最新推荐文章于 2024-10-05 07:56:51 发布
阅读量2.6w 收藏 8
点赞数
分类专栏: java 文章标签: java  安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jingleifan/article/details/90699011
版权
详细描述JavaScript 框架或库是一组能轻松生成跨浏览器兼容的 JavaScript 代码的工具和函数。如果网站使用了存在漏洞的 JavaScript 框架或库,攻击者就可以利用此漏洞来劫持用户浏览器,进行挂马、XSS、Cookie劫持等攻击
解决办法将受影响的javascript框架库升级到最新版本
威胁分值6
危险插件
发现日期2001-01-01
CVSS评分6.1(CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N)
原因:
	此错误指向了javascrpit源码;感觉不应该有这么大的问题,经网上提示可能是cookie的	HttpOnly问题.

解决方式:
删除所有的cookie设置,从新使用一下设置cookie

	reponse.addHeader("Set-Cookie", "userName="+user.getUserName()+"; Path=/; HttpOnly");
jingleifan
关注
专栏目录
WEB漏洞分类与定义指南
Macro2的博客
05-19 1803
WEB漏洞分类与定义指南 web vulnerability classification and definition guideline 前 言 本标准按照 本标准按照 GB/T1.1GB/T1.1GB/T1.1GB/T1.1 GB/T1.1 -2009 给出的规则起草 给出的规则起草 给出的规则起草 。 随着电信网和互联的发展,将不断补充完善安全防护体系相关标准。 随着电信网和互联的发展,将不断补充完善安全防护体系相关标准。 随着电信网和互联的发展,将不断补充完善安全防护体系相关标准。 随着电信网和.
Web安全期末复习
kaisaooo的博客
07-02 6497
目录前言知识点Web应用开发基础Web信息收集Web漏洞扫描SQL注入文件上传攻击跨站脚本攻击(XSS)跨站请求伪造命令执行漏洞Web Server配置安全认证和授权日志系统构建及日志分析实战与综合简答题复习要点ASP.NET的安全控件web应用系统的数据加密数据安全通信身份验证日志分析安全配置一套习题 前言 本文用来记录Web安全的复习资料,大部分内容都是从老师ppt的复习范围中节选的,可能不太全,经过考试的心得:有时间的可以多看看,考的比较杂啥都有,但是SQL注入、XSS、文件上传漏洞是重中之重。有
Javascript框架漏洞验证,劲爆
04-17 1459
经常看到漏扫扫出来这个漏洞,查看了网上好多文章都没有正确的验证方法都在扯淡。今天我来点干货记录一下这个漏洞到底是怎么触发JS生成XSS的,也方便后面漏洞验证报告的书写。AWVS扫出来的JS框架漏洞RSAS扫出来的JS框架漏洞
js页面检测目标站点存在javascript框架漏洞
热门推荐
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
01-28 1万+
一、概述 在系统验收前安全检查时,绿盟检查到系统存在页面检测目标站点存在javascript框架漏洞,如下所示: 二、分析处理 这个漏洞绿盟扫描比较常见的一个漏洞,原因就是jquery版本过低。升级到3.3以上就可以了。 建议升级jquery,但盲目升级会导致网站部分插件不可用;本项目采用spring架构,建议处理: 1)、根据web应用漏洞,找到详情页,里面有具体的路径信息。从路径中找到该文件; 2)、注释掉版本信息; 3)、用最高版本信息代替。 如果是vue项目,你再里面引用了js-cookie
javascript学习——Cookie详解
最新发布
白话机器学习
10-05 1485
Cookie 是服务器保存在浏览器的一小段文本信息,一般大小不能超过4KB。浏览器每次向服务器发出请求,就会自动附上这段信息。HTTP 协议不带有状态,有些请求需要区分状态,就通过 Cookie 附带字符串,让服务器返回不一样的回应。举例来说,用户登录以后,服务器往往会在网站上留下一个 Cookie,记录用户编号(比如id=1234),以后每次浏览器向服务器请求数据,就会带上这个字符串,服务器从而知道是谁在请求,应该回应什么内容。Cookie 的目的就是区分用户,以及放置状态信息,它的使用场景主要如下。
javascript框架比较(一)
GoodShot的专栏
07-29 780
JavaScript 是面向对象的脚本语言,长期以来用作 Web 浏览器应用程序的客户端脚本接口。JavaScriptWeb 开发人员能以编程方式处理 Web 页面上的对象,并提供了一个能够动态操作这些对象的平台。在最初引入 JavaScript 时,通常只用于提供 Web 页面上的一些不重要的特性,如时钟功能和浏览器状态栏中的滚动文本等。另一个常见的特性是 “rollover link”,
retire.js:扫描程序检测已知漏洞JavaScript的使用
01-30
Retire.js 您所需要的还必须退休 在Web上以及在那里的Node.JS应用程序中都有大量JavaScript。 这极大地简化了开发,但是我们需要保持最新的安全修补程序。 现在,“使用具有已知漏洞的组件”已成为安全风险列表的一部分,不安全可能给您的Web应用带来巨大的风险。 Retire.js的目标是帮助您检测具有已知漏洞的JS版本的使用。 Retire.js可以通过多种方式使用: 命令行扫描仪 扫描Web应用程序或节点应用程序以使用易受攻击JavaScript和/或Node.JS模块。 在应用程序文件夹的源代码文件夹中运行: $ npm install -g retire $ retire Grunt插件 在应用程序的构建例程或某些其他自动化工作流程中 。 Gulp任务 一个Gulp任务的示例,可以在gulpfile中使用它来自动监视和扫描项目文件。 您可以根据需要修改监视模式和(可选)Retire.js选项。 const c = require ( 'ansi-colors' ) ; var gulp = require ( 'gulp' ) ; var be
安全漏洞检测目标站点存在javascript框架漏洞
面向未来的历史
03-12 1万+
将用若依框架开发的后台管理系统代码使用绿盟安全检测,结果:检测目标站点存在javascript框架漏洞。 如图: 网上针对这个问题一般都是说jquery 版本过低,升级版本就行,但是若依中并没有使用 jquery。 或者将 cookie 改成 localstorage 若依框架中的确是用了 js-cookie。 将cookie 改为 localStorage 后, 该问题还是存在。 ...
Javascript框架漏洞验证
wangyuxiang946的博客
11-11 1万+
Javascript框架漏洞 ????前言????漏洞验证????漏洞描述????解决办法????免费福利 ????前言 经常看到漏扫扫出来这个漏洞,查看了网上好多文章都没有正确的验证方法都在扯淡。今天我来点干货记录一下这个漏洞到底是怎么触发JS生成XSS的,也方便后面漏洞验证报...
javascript漏洞-检测目标站点存在javascript框架漏洞
laughingsister的博客
05-18 5838
一般是让升级为最新的版本的脚本文件,但是实际使用过程中,有的插件不兼容,盲目升级会导致网站部分插件不可用。 下面是一种解决方案。 比如漏洞扫描出jquery:2.1.4。作以下处理: 一、根据web应用漏洞,找到详情页,里面有具体的路径信息。从路径中找到该文件; 二、注释掉版本信息; 三、用最高版本信息代替。 基本上可以解决【检测目标站点存在javascript框架漏洞】问题。 ...
基于JavaScript框架漏洞_javascript框架漏洞
m0_60607245的博客
04-09 1075
picture cut是一个jquery插件,以非常友好和简单的方式处理图像,具有基于bootstrap或jquery ui的漂亮界面,具有ajax上传,从资源管理器拖动图像,图像裁剪等强大的功能。中调用**…/core/PictureCut.php** 处理文件上传的代码不检查文件类型并允许用户选择文件位置路径。未经身份验证的用户并将可执行的 PHP 文件上传到服务器,从而允许执行代码。
绿盟科技面试题
WD_MX的博客
11-23 2817
绿盟科技面试
XSS跨站脚本漏洞简介、原理及防护方法
m0_54899775的博客
03-21 7960
XSS跨站脚本漏洞简介、原理及防护方法 XSS跨站漏洞原理及防护
web安全防范
宅神的博客
06-28 4710
web安全 安全永远是产品的最基础需求 这里总结几种常见攻击与防范 一.XSS XSS,跨站脚本攻击,原理是恶意攻击者往 Web 页面里插入恶意可执行网页脚本代码,当用户浏览该页之时,嵌入其中 Web 里面的脚本代码会被执行,从而可以达到攻击者盗取用户信息或其他侵犯用户安全隐私的目的。 1. 非持久性XSS 非持久型 XSS 漏洞,也叫反射型 XSS 漏...
检测目标站点存在javascript框架漏洞
Java旅途
08-05 1万+
这个漏洞绿盟扫描比较常见的一个漏洞,原因就是jquery版本过低。升级到3.3以上就可以了。 ——————————重点专用分割线—————————— vue项目并没有所谓的Jquery,为什么还会扫出这个漏洞。 这是因为vue项目里面引用了js-cookie用来存放登录的一些信息了。删除js-cookie重新打包就可以了。至于页面上的数据,那就存放在localstroge就行啦。 具体用法如下: var storage=localStorage; // 存放数据 storage.setItem("ke.
安全扫描:检测目标站点存在javascript框架漏洞
qq_42522803的博客
02-08 3736
检测目标站点存在javascript框架漏洞的解决方法
基于JavaScript框架漏洞_javascript框架漏洞,网络安全开发需要学什么
m0_74931199的博客
04-06 863
Node.js-systeminformation是用于获取各种系统信息的Node.js模块,在存在命令注入漏洞的版本中,攻击者可以通过未过滤的参数中注入payload执行系统命令。攻击者可以通过在未经过滤的参数中注入Payload来执行系统命令,最终获取服务器最高权限。修复:作为替代升级的一种变通方法,一定要检查或清理传递给**si.inetLatency()、si.inetChecksite()、si.services()、si.processLoad()**的服务参数。只允许字符串,拒绝任何数组。
Web充斥着存在漏洞的过期JavaScript
weixin_34377065的博客
03-18 314
虽然使用第三方软件通常会降低开发的时间,但同时也会增加网站暴露出的攻击表面,对此我们应有充分的认识。因此需要保持第三方软件的最新版本依赖,以便从安全更新中获益。即便如此,一份近期研究表明,在Alexa排名前7.5万名的网站中,有37%的网站至少存在一处漏洞,近10%的网站至少存在两处漏洞。 除了上面提及的37%的网站易受攻击之外,研究中还给出了如下几个值得关注的结果:总体上,Web网站使用第...
绿盟安全扫描--检测目标站点存在javascript框架漏洞
qq_33240556的博客
06-16 1180
解决方法: 升级jQuery版本到3.3.4,再次扫描,问题就解决了
检测目标站点存在javascript框架漏洞,这个怎么修复
07-14
针对目标站点存在JavaScript框架漏洞,修复方法通常包括以下步骤: 1. 升级框架版本:查找并确定目标站点所使用的JavaScript框架,并检查是否有已修复的版本可供升级。在升级之前,务必备份站点的相关文件和数据。 2. 应用补丁:下载并应用任何相关的安全补丁。这些补丁通常会修复已知的漏洞,并提供更强的安全性。 3. 移除或禁用不必要的功能和插件:如果站点中使用了不必要或不常用的功能和插件,最好考虑将其移除或禁用。这样可以减少潜在的攻击面并提高站点安全性。 4. 加强输入验证和过滤:确保站点的输入验证机制和过滤器能够有效地检测和阻止恶意输入。使用正则表达式、白名单和黑名单等方法来限制用户输入,以防止跨站脚本攻击(XSS)等安全威胁。 5. 定期进行安全审计:定期对站点进行安全审计,以检测潜在的漏洞安全风险。可以使用自动化工具或聘请安全专家进行审计。 6. 持续更新和监控:及时关注框架的更新和安全公告,并及时更新站点的相关组件。同时,定期监控站点的日志和活动,以便及时发现并应对任何异常情况。 请注意,修复漏洞需要谨慎操作,建议在测试环境中进行修复,并确保备份站点数据,以防修复过程中出现意外情况。如果您不确定如何修复漏洞,建议咨询安全专家或开发团队的帮助。
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值