jquery版本安全漏洞問題

2022-07-29 18:21:12 字數 916 閱讀 1138

起因:

公司一次常規安全掃瞄提出了jquery版本漏洞問題:

1.x系列版本等於或低於1.12的jquery,和2.x系列版本等於或低於2.2的jquery,過濾使用者輸入資料所使用的正規表示式存在缺陷,可能導致location.hash跨站漏洞。(漏洞官方修復介紹:

正確解決方法:公升級版本。

但是,最新版本的jquery廢除了很多api,jquery團隊推出了的乙個外掛程式jquery migrate,自動恢復那些在最新版本之後被廢棄的api,從而讓已有的js**無須改動就能和最新的jquery庫一起正常執行。在引用的jquery檔案後引用migrate檔案即可。

然而由於這個專案歷史久遠,**功能繁雜,接手時排查發現引用了多個版本的jquery。倉促的、大規模的改動之後還是出現了很多問題,只能再回退版本,採取臨時解決方案。

臨時解決方案:隱藏jquery版本資訊,避免被攻擊者識別出版本號。

操作如下:

>jquery檔案重新命名;

>jquery檔案裡頭部帶有版本號的注釋刪除;

>jquery檔案內版本號清除;

>在 jquery.js 檔案中重寫$.fn.jquery 屬性值;

然後專案就走常規上線流程了。

but,林子大了什麼都有,版本外掛程式多了什麼么蛾子都能衝突,還是有少部分功能頁面內呼叫的jquery外掛程式在沒有任何報錯的情況下失效了。

經過一系列排查,發現jquery檔案內,保留版本號的情況下,那些奇怪的問題就消失了。

所以,最終jquery檔案內重寫jquery版本而不是清除版本。

Web安全漏洞

web的大多數安全問題都屬於下面三種型別之一 1 伺服器向公眾提供了不應該提供的服務。2 伺服器把本應私有的資料放到了公開訪問的區域。3 伺服器信賴了來自不可信賴資料來源的資料。顯然,許多伺服器管理員從來沒有從另乙個角度來看看他們的伺服器,例如使用埠掃瞄程式。如果他們曾經這樣做了,就不會在自己的系統...

Redis安全漏洞

redis 預設情況下,會繫結在 0.0.0.0 6379,如果沒有進行採用相關的策略,比如新增防火牆規則避免其他非信任 ip 訪問等,這樣將會將 redis 服務暴露到公網上,如果在沒有設定密碼認證 一般為空 的情況下,會導致任意使用者在可以訪問目標伺服器的情況下未授權訪問 redis 以及讀取 ...

關於rabbitmq安全漏洞的問題

在我們的很多個專案中都用到了訊息中介軟體,雖然現在有些已經改用了kafka,但是還有相當一部分依然用的是rabbitmq。而最近呢,我們收到了乙份關於安全漏洞掃瞄的文件,說我們的rabbitmq存在著一些安全漏洞問題,既然是有問題,自然是需要整改的,但是看完文件以後,發現這種安全漏洞問題似乎並不是很...