js页面检测到目标站点存在javascript框架库漏洞

最新推荐文章于 2024-09-04 15:46:41 发布
最新推荐文章于 2024-09-04 15:46:41 发布
阅读量1.4w 收藏 10
点赞数 2
分类专栏: 安全相关 文章标签: javascript 前端 vue.js jquery java框架漏洞
文章仅用于技术分享,未经本人同意,禁止转载,且不得应用于商业模式
本文链接:https://blog.csdn.net/ximenjianxue/article/details/122732769
版权

一、概述

在系统验收前安全检查时,绿盟检查到系统存在页面检测到目标站点存在javascript框架库漏洞,如下所示:
在这里插入图片描述

二、分析处理

这个漏洞是绿盟扫描比较常见的一个漏洞,原因就是jquery版本过低。升级到3.3以上就可以了。

建议升级jquery,但盲目升级会导致网站部分插件不可用;本项目采用spring架构,建议处理:

1)、根据web应用漏洞,找到详情页,里面有具体的路径信息。从路径中找到该文件;
2)、注释掉版本信息;
3)、用最高版本信息代替。

如果是vue项目,你再里面引用了js-cookie用来存放登录的一些信息了。可删除js-cookie重新打包测试。至于页面上的数据,那就存放在localstroge就行啦。网络经验示例:

var storage=localStorage;
// 存放数据
storage.setItem(“key”,value);
// 根据key获取数据
storage.getItem(“key”);
// 根据key删除数据
storage.removeItem(“key”);
// 清空localStorage
storage.clear();

找到安全所述文件,修改如下版本信息:
在这里插入图片描述
在这里插入图片描述
完成后再测试。

羌俊恩
关注
专栏目录
影响数千网站的第三方JavaScript文件漏洞分析
Coisini的博客
06-25 1064
*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担 当前,很多网站都会使用第三方特定JavaScript的方式来增强网站的显示应用功能,通常情况下,这种嵌入到网站中的可以方便直接地从第三方服务提供商的域中加载,实现对当前网站的优化和功能增强。然而,这种嵌入到很多网站中的第三方往往会是一个致命的攻击面,可以导致嵌入网站更容易...
retire.js:扫描程序检测已知漏洞JavaScript的使用
01-30
Retire.js 您所需要的还必须退休 在Web上以及在那里的Node.JS应用程序中都有大量JavaScript。 这极大地简化了开发,但是我们需要保持最新的安全修补程序。 现在,“使用具有已知漏洞的组件”已成为安全风险列表的一部分,不安全的可能给您的Web应用带来巨大的风险。 Retire.js目标是帮助您检测具有已知漏洞JS版本的使用。 Retire.js可以通过多种方式使用: 命令行扫描仪 扫描Web应用程序或节点应用程序以使用易受攻击JavaScript和/或Node.JS模块。 在应用程序文件夹的源代码文件夹中运行: $ npm install -g retire $ retire Grunt插件 在应用程序的构建例程或某些其他自动化工作流程中 。 Gulp任务 一个Gulp任务的示例,可以在gulpfile中使用它来自动监视和扫描项目文件。 您可以根据需要修改监视模式和(可选)Retire.js选项。 const c = require ( 'ansi-colors' ) ; var gulp = require ( 'gulp' ) ; var be
JQuery 漏洞修复记录及JQuery里的各个文件的作用
wwgddx的专栏
09-04 1322
你好! 这是一篇关于JQuery漏洞修复及JQery下各个文件介绍的经验文章。如果你正好用到了JQuerry或者需要修复相关漏洞, 可以仔细阅读这篇文章,了解一下JQuery相关知识。 最近WEB项目遇到漏洞审查,发现了 JQuery原型污染漏洞(CVE-2019-11358),中危, 项目原来的JQery的版本是3.3.1,现在把修复过程记录一下。JQuery相关文件介绍​ core是jQuery的核心内容, 包含了最基础的方法, 比如我们常用的 $(selector, context), 用于遍历操
安全漏洞检测目标站点存在javascript框架漏洞
面向未来的历史
03-12 1万+
将用若依框架开发的后台管理系统代码使用绿盟安全检测,结果:检测目标站点存在javascript框架漏洞。 如图: 网上针对这个问题一般都是说jquery 版本过低,升级版本就行,但是若依中并没有使用 jquery。 或者将 cookie 改成 localstorage 若依框架中的确是用了 js-cookie。 将cookie 改为 localStorage 后, 该问题还是存在。 ...
安全扫描:检测目标站点存在javascript框架漏洞
qq_42522803的博客
02-08 3632
检测目标站点存在javascript框架漏洞的解决方法
检测目标站点存在javascript框架漏洞
dong__xue的博客
02-22 9017
系统上正式环境之前需要通过扫描:绿盟科技"远程安全评估系统"安全评估报告, “检测目标站点存在javascript框架漏洞” 这个漏洞是因为jquery的版本问题,我们又不能将jquery替换为最新的(版本升级导致有些使用的地方不兼容、出错等)。做如下修改:将源文件中凡是有版本标识的地方都改为最新的3.6.0 如果替换后还是会有这个那就老老实实换jquery的源码吧! ...
Javascript框架漏洞验证,劲爆
04-17 1183
经常看到漏扫扫出来这个漏洞,查看了网上好多文章都没有正确的验证方法都在扯淡。今天我来点干货记录一下这个漏洞到底是怎么触发JS生成XSS的,也方便后面漏洞验证报告的书写。AWVS扫出来的JS框架漏洞RSAS扫出来的JS框架漏洞
Angular+Nodejs检测目标站点存在javascript框架漏洞要如何处理
最新发布
09-26
当在Angular(前端框架)和Node.js(后端脚本环境)的应用中检测目标站点存在JavaScript框架漏洞时,处理步骤通常包括以下几个部分: 1. **确认漏洞**:首先,需要确认所发现的是真实漏洞,而不是误报或者...
检测目标站点存在javascript框架漏洞,这个怎么修复
07-14
针对目标站点存在JavaScript框架漏洞,修复方法通常包括以下步骤: 1. 升级框架版本:查找并确定目标站点所使用的JavaScript框架,并检查是否有已修复的版本可供升级。在升级之前,务必备份站点的相关文件...
jQuery Mobile漏洞会有跨站脚本攻击风险
12-11
Vela发现,即使有内容安全策略(CSP)存在,如果目标网站存在开放重定向漏洞,攻击者仍有可能利用jQuery Mobile的这一行为发动攻击。他提供了一个演示(链接省略)来展示这种攻击方式。 令人担忧的是,许多知名网站...
绿盟安全扫描--检测目标站点存在javascript框架漏洞
qq_33240556的博客
06-16 1130
解决方法: 升级jQuery版本到3.3.4,再次扫描,问题就解决了
javascript漏洞-检测目标站点存在javascript框架漏洞
laughingsister的博客
05-18 5757
一般是让升级为最新的版本的脚本文件,但是实际使用过程中,有的插件不兼容,盲目升级会导致网站部分插件不可用。 下面是一种解决方案。 比如漏洞扫描出jquery:2.1.4。作以下处理: 一、根据web应用漏洞,找到详情页,里面有具体的路径信息。从路径中找到该文件; 二、注释掉版本信息; 三、用最高版本信息代替。 基本上可以解决【检测目标站点存在javascript框架漏洞】问题。 ...
检测目标站点存在javascript框架漏洞 绿盟 web
热门推荐
jingleifan的博客
05-30 2万+
详细描述 JavaScript 框架是一组能轻松生成跨浏览器兼容的 JavaScript 代码的工具和函数。如果网站使用了存在漏洞JavaScript 框架,攻击者就可以利用此漏洞来劫持用户浏览器,进行挂马、XSS、Cookie劫持等攻击 解决办法 将受影响的javascript框架升级到最新版本 威胁分值 6 危险插件 否 发现日期 2001-0...
检测目标站点存在javascript框架漏洞 (随手记录)
张小胖
10-12 1万+
问题总结: js-cookie 系列解决问题 vue项目里面引用了js-cookie用来存放登录的一些信息了。删除js-cookie重新打包就可以了。至于页面上的数据,那就存放在localstroge就行。 具体用法: var storage=localStorage; // 存放数据 storage.setItem("key",value); // 根据key获取数据 storage.getItem("key"); // 根据key删除数据 storage.removeItem("ke.
基于JavaScript框架漏洞_javascript框架漏洞
m0_60607245的博客
04-09 976
picture cut是一个jquery插件,以非常友好和简单的方式处理图像,具有基于bootstrap或jquery ui的漂亮界面,具有ajax上传,从资源管理器拖动图像,图像裁剪等强大的功能。中调用**…/core/PictureCut.php** 处理文件上传的代码不检查文件类型并允许用户选择文件位置路径。未经身份验证的用户并将可执行的 PHP 文件上传到服务器,从而允许执行代码。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

羌俊恩

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值