检测到目标站点存在javascript框架库漏洞 绿盟 web

最新推荐文章于 2024-06-19 01:26:59 发布
最新推荐文章于 2024-06-19 01:26:59 发布
阅读量2.5w 收藏 8
点赞数
分类专栏: java 文章标签: java  安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jingleifan/article/details/90699011
版权
详细描述JavaScript 框架或库是一组能轻松生成跨浏览器兼容的 JavaScript 代码的工具和函数。如果网站使用了存在漏洞的 JavaScript 框架或库,攻击者就可以利用此漏洞来劫持用户浏览器,进行挂马、XSS、Cookie劫持等攻击
解决办法将受影响的javascript框架库升级到最新版本
威胁分值6
危险插件
发现日期2001-01-01
CVSS评分6.1(CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N)
原因:
	此错误指向了javascrpit源码;感觉不应该有这么大的问题,经网上提示可能是cookie的	HttpOnly问题.

解决方式:
删除所有的cookie设置,从新使用一下设置cookie

	reponse.addHeader("Set-Cookie", "userName="+user.getUserName()+"; Path=/; HttpOnly");
jingleifan
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 9
    评论
专栏目录
检测目标url存在客户端(javascript)cookie引用_精确化测试——基于依赖关系的变动检测原理...
weixin_39932838的博客
12-08 2903
背景与动机无论是前端还是客户端,凡涉及到 GUI 的测试,基本都难以实现完全自动化测试。一方面因为 GUI 测试编写或录制的成本较高,第二方面是需求迭代得太快。所以不少公司都需要招聘测试团队,通过人力测试进行保证。但问题是,随着项目越来越大,需要进行回归的用例就越来越多,并且是一个指数级增长的过程,所以往往就只能凭工程师或产品经理的经验,猜测哪些逻辑可能会被影响,而哪些不会有影响。然而这样过于依赖...
Javascript客户端存储-cookie
Hoshizola的博客
03-20 744
一、什么是cookie Http cookie通常也叫做cookie,最初用于在客户端存储会话信息。这个规范要求服务器在响应http请求时通过发送Set-CookieHTTP头部包含会话信息。HTTP响应会设置一个名为name,值为value的cookie。名和值在发送时都会经过URL编码。浏览器会存储这些会话信息,并在之后每个请求中都会通过HTTP头部cookie再将它们发回服务器。这些发送回服务器的额外信息可用于唯一标识发送请求的客户端。 1.1 cookie的限制 cookie是与特定域绑定的。设置c
检测目标url存在客户端(javascript)cookie引用_利用Zabbix监控系统自动检测网站运行状态...
weixin_39673601的博客
12-08 4639
我们要检测一个网站是否正常运行,最好的方式是啥呢?我想最直接的办法就是打开浏览器输入要访问的网址,能打开网页说明网站是正常运行的,不能打开了则说明网站存在问题。通过上一篇文章《HTTP协议及其工作原理介绍》,我想您对HTTP协议会有一个简单的了解了,那么现在我们就利用Zabbix监控系统来帮我们检测目标网站的运行状态了。Zabbix提供了Web监测功能,监控到网站的响应时间,还可以根据访问站点返...
检测目标站点存在javascript框架漏洞
Java旅途
08-05 1万+
这个漏洞绿盟扫描比较常见的一个漏洞,原因就是jquery版本过低。升级到3.3以上就可以了。 ——————————重点专用分割线—————————— vue项目并没有所谓的Jquery,为什么还会扫出这个漏洞。 这是因为vue项目里面引用了js-cookie用来存放登录的一些信息了。删除js-cookie重新打包就可以了。至于页面上的数据,那就存放在localstroge就行啦。 具体用法如下: var storage=localStorage; // 存放数据 storage.setItem("ke.
Web安全基础学习:XSS跨站脚本漏洞之DOM型XSS
最新发布
qq_51862722的博客
06-19 1093
DOM型XSS漏洞:非持久型XSS,且不与后台服务器产生数据交互,而是通过JS修改网页的DOM来执行恶意脚本进行攻击。注意,DOM型XSS与反射型和存储型最大的区别在于,DOM型XSS不经过服务端,全部的攻击过程都在客户端完成。
js页面检测目标站点存在javascript框架漏洞
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
01-28 1万+
一、概述 在系统验收前安全检查时,绿盟检查到系统存在页面检测目标站点存在javascript框架漏洞,如下所示: 二、分析处理 这个漏洞绿盟扫描比较常见的一个漏洞,原因就是jquery版本过低。升级到3.3以上就可以了。 建议升级jquery,但盲目升级会导致网站部分插件不可用;本项目采用spring架构,建议处理: 1)、根据web应用漏洞,找到详情页,里面有具体的路径信息。从路径中找到该文件; 2)、注释掉版本信息; 3)、用最高版本信息代替。 如果是vue项目,你再里面引用了js-cookie
检测目标站点存在javascript框架漏洞 (随手记录)
张小胖
10-12 9951
问题总结: js-cookie 系列解决问题 vue项目里面引用了js-cookie用来存放登录的一些信息了。删除js-cookie重新打包就可以了。至于页面上的数据,那就存放在localstroge就行。 具体用法: var storage=localStorage; // 存放数据 storage.setItem("key",value); // 根据key获取数据 storage.getItem("key"); // 根据key删除数据 storage.removeItem("ke.
Web安全问题记录以及解决方案
蒋小姐的博客
02-04 1860
当登录时,接口返回token作为所有接口登录的凭证,web端保存token,一般用cookie的方法。查资料发现这种保存方式存在漏洞。至于页面上的数据,全局查询cookie,存放在。jquery版本过低。
网站扫描出的漏洞解决:检测目标Content-Security-Policy、X-XSS-Protection/Content-Security-Policy响应头缺失、加密算法等处理修复方法
本博客记录了从2014年以来在工作学习中遇到的技术问题、解决方法以及部分个人人生经历、经验等内容。
03-17 3849
Content Security Policy (CSP) 通过告诉浏览器一系列规则,严格规定页面中哪些资源允许有哪些来源, 不在指定范围内的统统拒绝,可以服务器添加 Content-Security-Policy 头信息来指定规则解决。connect-src *会使安全进行升级,即一个http页面中所有调用的静态资源会自动升级使用https调用。但这样也会产生很多问题,如果调用的资源实际并不支持https的话,这时如果不是线上环境可以不理会,线上环境使用https就没有这样的问题了。
绿盟检测目标Strict-Transport-Security响应头缺失
热门推荐
这把躺赢
10-22 1万+
1.问题展示 项目安全扫描,扫到以下问题。 检测目标URL存在客户端JavaScriptCookie引用 检测目标Strict-Transport-Security响应头缺失 检测目标Referrer-Policy响应头缺失 检测目标X-Permitted-Cross-Domain-Policies响应头缺失 检测目标X-Download-Options响应头缺失 点击劫持:X-Frame-Options未配置 ..
Vue项目绿盟RSAS漏扫,检测目标站点存在javascript框架漏洞
qq_36449635的博客
08-31 2632
Vue项目绿盟RSAS漏扫,检测目标站点存在javascript框架漏洞 出现问题可能的原因有: jquery的版本过低。cnpm install jquery 使用jsencrypt进行加密或加签。 在node_modules文件夹中找到jsencrypt相关的文件,将其中YUI的版本号删掉。 使用jsrsasign进行加密或加签。 将jsrasign升级到最新版本或使用jsencrypt来替代。 PS:如何查看package.json中各依赖的最新版本: ## 安装ncu cnpm ins
JavaScript 常见安全漏洞和自动化检测技术
10-23
js安全漏洞目前存在较大的技术难题,本文结合案例给大家详解JavaScript 常见安全漏洞和自动化检测技术,需要的朋友可以参考下
Cookie将用户名和密码加密后存在客户端Cookie当中
10-24
用户登录成功后,将用户名和密码加密后保存了在Cookie当中,以后用户登录的时候,不用输入用户名和密码,可以直接进行登录;前提是,不能禁用浏览器的Cookie
常用图标_绿盟.ppt
08-17
绿盟
绿盟主机扫描报告生成1.3(修复web汇总bug).xls
07-22
能够对绿盟极光安全扫描器扫描出来的报告进行二次加工,目前可生成主机报告以及web报告。原先的绿盟生成出来的Excel格式报告非常乱,而且不好归类,我写了个宏将扫描出来后的主机问题全部按照漏洞类型,风险描述,...
绿盟售前工程师NSSP试题有带部分答案
11-06
绿盟售前工程师NSSP试题 ,115题 带部分答案, ,准备考绿盟售前工程师的朋友,可以看看!很有用!
2023-0Day(漏洞检测Tools)V1.4 HW-漏洞挖掘-src
08-23
为更好帮助师傅们日常安全巡检期间及攻防演练期间进行安全自查检测,编写了2023公开漏洞检测工具 8月22日 漏洞检测Tools V1.0更新漏洞利用如下: 1、用友移动管理系统文件上传漏洞(YonyouMa UPload) 2、用友...
cookie注入原理及注入检测
weixin_30505751的博客
02-26 536
通常我们的开发人员在开发过程中会特别注意到防止恶意用户进行恶意的注入操作,因此会对传入的参数进行适当的过滤,但是很多时候,由于个人对安全技术了解的不同,有些开发人员只会对get,post这种方式提交的数据进行参数过滤。 但我们知道,很多时候,提交数据并非仅仅只有get\post这两种方式,还有一种经常被用到的方式:request("xxx"),即request方法 通过这种方法一样可以从用户提...
绿盟极光漏洞扫描工具
06-08
绿盟极光漏洞扫描工具是由绿盟科技开发的一款专业的企业级网络安全扫描工具,主要用于发现网络中的安全漏洞,帮助企业和组织提升网络防护能力。它通过自动化的方式对目标网络进行系统、应用和服务的漏洞检测,提供全面的漏洞评估报告,包括弱口令、开放端口、系统漏洞等多个方面。 极光漏洞扫描器的特点包括: 1. **深度扫描**:能够深入网络各个层次,检测隐藏的漏洞。 2. **动态检测**:支持对Web应用的动态行为分析,找出常见的OWASP Top 10漏洞。 3. **实时更新**:持续跟进最新的安全威胁和漏洞数据,保持扫描策略的时效性。 4. **易用界面**:提供友好的用户界面,便于管理和配置扫描任务。 5. **报告详尽**:生成的报告清晰直观,有助于快速理解和采取对应措施。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值