记录项目上线被扫描出一个中级漏洞解决方法

最新推荐文章于 2024-05-15 18:18:07 发布
最新推荐文章于 2024-05-15 18:18:07 发布
阅读量253 收藏
点赞数 2
分类专栏: 开发笔记 文章标签: 前端 javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_26889291/article/details/136632889
版权

安全部门同事发的截图中有大概类似下面的图片
在这里插入图片描述
经过一番询问后才知道,是工具包中依赖的 YUI 是存在安全漏洞的版本。

后来发现是因为使用了jsencrypt依赖包

解决方法是改变jsencrypt引入方式
// 旧的引入方式
import JSEncrypt from ‘jsencrypt’
// 新的引入方式
import JSEncrypt from ‘jsencrypt/bin/jsencrypt.min.js’

参考文章
https://blog.csdn.net/u012961419/article/details/130016341

实践是最好的老师
关注
专栏目录
高性能零售IT系统的建设08-9年来在互联网零售O2O行业抗黑产、薅羊毛实战记录及打法
lifetragedy的专栏
12-11 2008
本篇以全景式黑产对抗把本人完整对抗亿级黑产、羊毛党的实战经验进行传授。对抗每秒万级并发很难,而对抗黑产是难上难。有时仅仅一个黑客的技术能力、智商是全面碾压一个企业甚至一个集团公司内所有IT人员的智慧累加的。但是我们只要记住:求“减损”不要“止损”,更谈不上“防损”!不要求打败,而是增加“黑产”的攻击成本!着眼于全局战役,而不要打“阵地战”!流量我要,权益你木有!这几句心法就能和黑产打得有来有去,游刃有余。
软考中级 真题 2018年上半年 信息系统管理工程师 基础知识
用文字记录下每一个瞬间的感动和每一次思考的火花
06-19 1万+
全国计算机技术与软件专业技术资格(水平)考试 2018年上半年 信息系统管理工程师 上午试卷 (考试时间9 : 00~11 : 30 共 150 分钟) 1. 在答题卡的指定位置上正确写入你的姓名和准考证号,并用正规 2B 铅笔在你写入的准考证号下填涂准考证号。 2. 本试卷的试题中共有 75 个空格,需要全部解答,每个空格 1 分,满分 75 分。 3. 每个空格对应一个序号,有 A、B、C、D 四个选项,请选择一个最恰当的选项作为解答,在答题卡相应序号下填涂该选项。 4. 解答前务必阅读例.
前端利用 jsencrypt.js 进行 RSA 加密
dark_cy的博客
07-28 790
import JSEncrypt from 'jsencrypt/bin/jsencrypt' // 密钥对生成网址 http://web.chacuo.net/netrsakeypair // 公钥,用于加密 const publicKey = 'MFwwDQYJKoZIhvcNAQEBBQADSwAwSAJBANL378k3RiZHWx5AfJqdH9xRNBmD9wGD\n' + '2iRe41HdTNF8RUhNnHit5NpMNtGL0NPTSSpPjjI1kJfVorRvaQerUgkC
主机漏洞扫描记录
01-11
主机漏洞扫描记录 本主机系统比较安全,并没发现高危或可利用的漏洞,安全等级为:非常安全 生成记录总数: 21 高危险级别总数: 0 中危险级别总数: 0 信息类总数: 21
AppScan9.0.3.5漏洞扫描记录
a7412605567的博客
11-26 523
1.跨站点脚本编制 这个安全漏洞拿cookie做文章,而且是将前端的一些弹窗方法,要么通过脚本注入,要么通过url.encode之后注入,看几个变异的版本: 版本一: cookie从以下位置进行控制: a5d5b093-a2c1-47e5-9604-b661c124344a 至:a5d5b093-a2c1-47e5-9604-b661c124344a"==aalertle...
Nessus漏扫 软件产品漏洞扫描 --- 记录
qq_41497111的博客
05-31 1427
https://www.cnblogs.com/cheyunhua/p/8084459.html
内部网络安全漏洞定期扫描记录1.pdf
10-20
内部网络安全漏洞定期扫描记录1.pdf
HCL AppScan Standard漏洞扫描处理记录
10-31 2047
AppScan漏洞扫描,nginx配置修改记录
[原创]Ladon7.5大型内网渗透扫描器&Cobalt Strike
K8哥哥
11-10 1万+
Ladon一款用于大型网络渗透的多线程插件化综合扫描神器,含端口扫描、服务识别、网络资产、密码爆破、高危漏洞检测以及一键GetShell,支持批量A段/B段/C段以及跨网段扫描,支持URL、主机、域名列表扫描。5.5版本内置39个功能模块,通过多种协议以及方法快速获取目标网络存活主机IP、计算机名、工作组、共享资源、网卡地址、操作系统版本、网站、子域名、中间件、开放服务、路由器、数据库等信息,漏洞检测包含MS17010、Weblogic、ActiveMQ、Tomcat、Struts2等,密码爆破11种含数据
HW面试题
weixin_67503304的博客
09-26 3304
护网,重保面试实录
jsencrypt.min.js
01-04
前端需要用到的RSA数据加密工具包
encrypt.js
01-07
wps登录js加密,调用getPwd()函数,将密码传入即可。请自行动态获取pass_key。python可以通过execjs库调用。
软件测试面试题(含答案)
热门推荐
公众号已改名为-程序员阿沐
03-01 10万+
软件测试面试题(含答案)
网安学习之文件漏洞(包括初级,中级,高级)
weixin_43527478的博客
02-06 368
网安学习之文件漏洞(包括初级,中级,高级) 1.初级漏洞:只要求上传文件未对文件进行任何校验 直接上传一句话木马文件,然后通过菜刀进行连接,即可直接进行连接。 2.中级漏洞:对文件的MIME进行了要求需要启动代理功能 2.1启动其拦截功能 2.2更改其MIME即将Content-Type:更改为要求格式即image/jpeg,然后点击转发 2.3再用菜刀进行连接 3.高级漏洞:严格对上传文件进...
漏洞扫描之nikto
不忘初心,护天下安全!
11-15 2712
介绍 NIKTO:perl语言开发的开源WEB安全扫描器;识别网站软件版本;搜索存在安全隐患的文件;检查服务器配置漏洞;检查WEB Application层面的安全隐患;避免404误判(原因:很多服务器不遵循RFC标准,对于不存在的对象返回200响应码);依据响应文件内容判断,不同扩展名的文件404响应内容不同;去时间信息后的内容取MD5值;不建议用-no404参数(-no404参数指去不校验4...
【vue ts使用jsencrypt进行res加密引发web漏洞的问题】
weixin_40343982的博客
03-02 1692
vue ts使用jsencrypt进行res加密引发web漏洞的问题现YUI版本太低的问题在项目中引入.ts修改引用yahoo.js的地方打包测试 现YUI版本太低的问题 网上在搜寻多篇文章后 发现按照操作都未能解决问题,原因可能是我的项目中使用的ts语言导致,这里我给大家提供一个修复的参考。 在项目中引入.ts // 引入 import { JSEncrypt } from "JSEncrypt" 修改引用yahoo.js的地方 删除yahoo.js文件并且修改下图文件 注释掉引入部分 注释掉使
【React】 打包扫描现高风险文件 YUI 版本太低 JSEncrypt
最新发布
day day up
05-15 902
漏洞的原因是 YUI 2.9.0 版本存在安全漏洞, 安全软件扫描的依据是注释中包含 yui 的版本号
Vue 项目安全扫描漏洞,JS 库版本太低,要求升级 YUI,过程总结
Innocence_0的博客
04-16 1851
公司信安部门对项目进行安全扫描,查一些漏洞,其中有一项要求升级 javascript 框架库(如图):![在这里插入图片描述](https://img-吓得我以为让我把 Vue2 升级成 Vue3。经过一番询问后才知道,是工具包中依赖的 YUI 是存在安全漏洞的版本。
小程序jsencrypt不兼容处理一步步“调教”jsencrypt过程,调到服为止
逆水行舟,不进则退
07-06 1438
什么是RSA加密,详情可以百度。简单来说 RSA加密算法是一种非对称加密算法。 是一种通过公钥加密,私钥解密的非对称加密方法。一般公钥对外暴露,私钥私密保存,只有正确的私钥可以解密正确的内容。jsencrypt一个基于rsa加解密的js库。jsencrypt是不兼容小程序的,因为小程序没有window对象。如果需要在小程序中使用需要修改源码,进行适配小程序。本文不仅介绍如何适配,还介绍如何一步步调式适配的过程。......
企业项目上线发布流程规范
这个文档详尽地阐述了一个完整的软件综合项目上线发布作业流程,旨在规范项目管理和确保产品质量。 1. **目标**: 文件首要目标是规范化项目上线步骤,建立产品版本控制,以保证软件质量。这包括在上线前进行充分的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值