Vulnerable Javascript library

已于 2022-11-09 19:43:15 修改
阅读量1.1w 收藏 13
点赞数 2
分类专栏: js/jq 文章标签: javascript
于 2021-06-25 13:56:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36509946/article/details/118218994
版权

        首先说明一下,这个问题的由来:源于我们开发的项目送去上海检测,结果送检没通过,被打回来了,返回的结果有这么一条:Vulnerable Javascript library

        然后字面翻译就是"脆弱的js",对于小白的我来说,从来没遇到过这个问题,然后就赶紧百度,百度返回的结果是---------js插件库版本太低,升级就好了

        那么问题来了,项目中用到那么多插件,总不至于让我把所有的插件都升级一遍吧,这样可能会死人的。。。。。

       接下来:我们部门做底层开发的同事安装了一下叫"nessus"的工具,帮我扫描了一下,扫出来的结果是这样的:

        于是乎,英文学的很菜,就百度了一个中文版的错误解释JQuery 1.2 < 3.5.0 多个 XSS | Tenable®

        好的,废话不说,就是要升级jQuery.min.js到3.5以上版本,那么就赶紧下载替换吧,下面是下载地址:jquery下载所有版本(实时更新),下载完把之前的替换掉就好了,这个大家应该都懂,就不废话了。

       接下来,当我兴冲冲的以为搞定了的时候,发现了两个报错信息:

       1.bootstrap报错,很简单,就是bootstrap不兼容最新版的jquery,所以bootstrap也需要升级,所以,继续下载bootstrap进行升级。下载地址:起步 · Bootstrap v3 中文文档 | Bootstrap 中文网

       2.控制台有这样一个函数的报错信息,r.getClientRects is not a function,原因在于,我项目中还用到了jquery-ui.js插件,jq升级后,导致ui版本太低,也发生了不兼容的问题,所以,ui插件也需要升级,下载地址:Download Builder | jQuery UI

       以上需要更新的内容,下载替换后,项目就可以成功的跑起来了。当然,每个人项目中遇到的问题可能都不一样,但是万变不离其宗,就是升级js就可以解决Vulnerable Javascript library这个问题。

笑到世界都狼狈
关注
专栏目录
Vulnerable Javascript library漏洞记录
NLstudy33的博客
09-26 919
AWVS扫出来Vulnerable Javascript library漏洞,然后查询资料,验证漏洞,仅做记录。
漏洞总结
Libra_Ng
03-06 2493
会话固定攻击(Session Fixation) ⚡️会话固定攻击(session fixation attack)是利用应用系统在服务器的会话ID固定不变机制,借助他人用相同的会话ID获取认证和授权,然后利用该会话ID劫持他人的会话以成功冒充他人,造成会话固定攻击。 整个攻击流程: 攻击者Attacker能正常访问该应用网站。 应用网站服务器返回一个会话ID给他。 攻击者Atta...
77% 的网站使用了至少有 1 个漏洞的 JavaScript
weixin_34088838的博客
04-05 1026
本文作者: Tim Kadlec 编译:胡子大哈 翻译原文:http://huziketang.com/blog/posts/detail?postId=58df725ba58c240ae35bb8dc 英文连接:77% of sites use at least one vulnerable JavaScript library...
JavaScript的脆弱性
zgqtxwd的专栏
05-01 1775
<!--google_ad_client = "pub-2947489232296736";/* 728x15, 创建于 08-4-23MSDN */google_ad_slot = "3624277373";google_ad_width = 728;google_ad_height = 15;//--><script type="text/javascript"
已知漏洞隐患:数十万网站仍在使用老旧的 JavaScript
weixin_33748818的博客
07-03 838
美国东北大学研究人员在对超过 13.3 万个网站进行分析后发现,竟然有超过 37% 的站点仍在使用至少包含一个已知公开漏洞的 JavaScript 库。研究人员早在 2014 年就意识到了这点 —— 加载过时的 JavaScript 库,存在被黑客利用的潜在安全隐患(比如 jQuery 和浏览器 AngularJS 框架)。他们在一篇新报告中指出,在适当...
JavaScript 供应链为什么如此脆弱...
最新发布
IT界那些事儿
11-27 112
JavaScript的强大之处在于其卓越的模块化能力,通过npm包管理机制,开发者可以轻易地引用并使用其他人或者组织已经编写好的开源代码,从而极大地加快了开发速度。但是,这种依赖关系的复杂性也给供应链的安全带来了巨大的挑战。今天就跟大家一起来聊聊JavaScript供应链的一些典型负面案例,让大家认识一下这是一个多么脆弱的生态。
is-website-vulnerable:在网站的前端JavaScript库中查找公开的安全漏洞
02-04
npx is-website-vulnerable https://example.com [--json] [--js-lib] [--mobile | --desktop] [--chromePath] [--cookie] [--token] CLI会提示您输入要输入的URL,从而妥善处理缺少要扫描的URL的情况: $ npx is-...
常见web漏洞(awvs、nessus)验证方法小记-中危漏洞
weixin_43875708的博客
03-12 1万+
1.【中危】不安全的Javascript库(Vulnerable Javascript library) 漏洞描述 SWFObject库 SWFObject是一个免费的开放源代码工具,用于在网站中嵌入swf内容,SWFObject在Internet Explorer中进行动态嵌入的方法,以使用更友好的W3C方式创建。网站正在使用易受攻击的Javascript库,此版本的Javascript库报告了...
retire.js:扫描程序检测已知漏洞JavaScript库的使用
01-30
Retire.js 您所需要的还必须退休 在Web上以及在那里的Node.JS应用程序中都有大量JavaScript库。 这极大地简化了开发,但是我们需要保持最新的安全修补程序。 现在,“使用具有已知漏洞的组件”已成为安全风险列表的一部分,不安全的库可能给您的Web应用带来巨大的风险。 Retire.js的目标是帮助您检测具有已知漏洞的JS库版本的使用。 Retire.js可以通过多种方式使用: 命令行扫描仪 扫描Web应用程序或节点应用程序以使用易受攻击JavaScript库和/或Node.JS模块。 在应用程序文件夹的源代码文件夹中运行: $ npm install -g retire $ retire Grunt插件 在应用程序的构建例程或某些其他自动化工作流程中 。 Gulp任务 一个Gulp任务的示例,可以在gulpfile中使用它来自动监视和扫描项目文件。 您可以根据需要修改监视模式和(可选)Retire.js选项。 const c = require ( 'ansi-colors' ) ; var gulp = require ( 'gulp' ) ; var be
检测到目标站点存在javascript框架库漏洞
Java旅途
08-05 1万+
这个漏洞是绿盟扫描比较常见的一个漏洞,原因就是jquery版本过低。升级到3.3以上就可以了。 ——————————重点专用分割线—————————— vue项目并没有所谓的Jquery,为什么还会扫出这个漏洞。 这是因为vue项目里面引用了js-cookie用来存放登录的一些信息了。删除js-cookie重新打包就可以了。至于页面上的数据,那就存放在localstroge就行啦。 具体用法如下: var storage=localStorage; // 存放数据 storage.setItem("ke.
jQ--rotate插件抽奖转盘
any0122的博客
11-05 524
<script type="text/javascript" src="js/jquery.js"></script>可以网络引入<script src="http://libs.baidu.com/jquery/2.0.0/jquery.min.js"></script>上线项目最好不要使用网络引入这种方式 /*! jQue...
数万网站仍在使用有已知漏洞的老旧 JavaScript
weixin_33691700的博客
06-02 929
美国东北大学研究人员在对超过 133000 个网站分析时发现,有超过 37% 的站点仍在使用至少包含一个已知公开漏洞的 JavaScript 库。研究人员早在 2014年进行研究时就曾提醒,应当注意由于在浏览器中加载老旧版本的 JavaScript 库(如 jQuery、AngularJS 框架)而导致的潜在安全风险。 正如他们在一篇新发表的论文...
pom.xml中解决“vulnerable dependency maven:org.yaml:snakeyaml:1.33“警告问题
gzmyh的博客
09-23 2847
当我们引入依赖的时候,pom文件会有这样的提示,其大概的意思就是maven:org.yaml:snakeyaml:1.30"表示通过Maven引入了一个潜在的安全漏洞依赖项"org.yaml:snakeyaml:1.30"
记录一个等保二的项目的漏洞处理
热门推荐
05-12 1万+
一、高危漏洞: 1、HTTP.sys remote code execution vulnerability(HTTP.sys 远程代码执行漏洞) 漏洞描述: HTTP 协议栈 (HTTP.sys) 中存在一个远程执行代码漏洞,该漏洞是由于 HTTP.sys 不正确地分析特制 HTTP 请求而导致的。 成功利用此漏洞的攻击者可以在系统帐户的上下文中执行任意代码。 对于 Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Wind
常见网站安全漏洞处理
liudao1991的专栏
08-10 1万+
1. Sql盲注 解决方法:添加过滤 2. Sql注入 解决方法:修改底层代码消除参数化查询 3. iis文件与目录枚举/Directory listing 解决方法:禁止目录浏览 4. webdav目录遍历 解决方法:http://www.45it.com/net/201208/31779.htm 5. _VIEWSTATE未加密 解决...
记一次网安安全漏洞整改
weixin_30826095的博客
09-29 1545
这里网安使用的扫描软件是Acunetix,总共扫描出1个中等漏洞,2个低等漏洞,3个提示。 1.Medium,Vulnerable Javascript library易受攻击的javascript库 解决,升级到最新版本即可。 2.Low, OPTIONS method is enabled 允许options类型请求方式 解决方法:禁用不...
html创建scrpts方法,web安全扫描问题(常见的)分析以及解决方式
weixin_39745269的博客
06-16 345
这是我上午扫描的一个网站很多地方地方不懂 在网上查了严重问题有Session fixtion,vulnerable javascript library..1.什么是sessionfixation攻击Session fixation有人翻译成“Session完成攻击”,实际上fixation是确知和确定的意思,在此是指Web服务的会话ID是确知不变的,攻击者为受害着确定一个会话ID从而达到攻击...
vulnerable javascript libraries
04-07
“易受攻击的JavaScript库”。这是指在应用程序中使用的JavaScript库存在安全漏洞,这些漏洞可以被攻击者利用来攻击该应用程序。这些漏洞可能包括SQL注入、跨站点请求伪造(CSRF)等问题。因此,开发者需要定期更新、维护和修复这些库,以最大程度地保证应用程序的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值