【解决安全扫描漏洞】---- 检测到目标站点存在 JavaScript 框架库漏洞

最新推荐文章于 2025-06-27 15:50:40 发布
最新推荐文章于 2025-06-27 15:50:40 发布
阅读量7.9k 收藏 29
点赞数 29
CC 4.0 BY-SA版权
分类专栏: Rattenking 的前端笔记 文章标签: 安全 javascript 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_38082783/article/details/144112019

1. 漏洞结果

JavaScript 框架或库是一组能轻松生成跨浏览器兼容的 JavaScript 代码的工具和函数。如果网站使用了存在漏洞的 JavaScript 框架或库,攻击者就可以利用此漏洞来劫持用户浏览器,进行挂马、XSS、Cookie劫持等攻击。

1.1 漏洞扫描截图

输入图片说明

1.2 具体漏洞的 js 文件

输入图片说明

1.3 参考博客

Vue 项目安全扫描漏洞,JS 库版本太低,要求升级 YUI,过程总结

2. 定位漏洞

博客中提供三个可能存在这个漏洞的框架库。

  1. jquery;
  2. js-cookie;
  3. jsencrypt。
2.1 开始狡辩

  1. jsencrypt 依赖包最新版本查询
    输入图片说明

  2. 漏洞项目的 jsencrypt 的版本
    输入图片说明

由于前两个框架项目中没有使用,所以直接找第三个,证明漏洞项目已经是最新的了,而且项目中没有使用 YUI 库。因此可能不是这个库的问题。

2.2 漏洞甩脸

输入图片说明

安全扫描在扫描代码里边的确存在这个漏洞!

2.3 全局搜索

输入图片说明

全项目搜索,并未找到该漏洞,但是打包后漏洞又是存在的,就说明漏洞因该在 jsencrypt 包里。

2.4 找到漏洞代码

输入图片说明

可以看到这个代码是存在在 jsencrypt 中的,只是是通过 eval 方法执行的,哎,没想到最新版本,还是存在这个漏洞,但是加密又要使用,不能修改包里的文件。

3. 漏洞分析

YUI 2.8.0至2.9.0中Flash组件基础架构中的跨站脚本(XSS)漏洞,如4.0.9之前的Bugzilla 3.7.x和4.0.x、4.2.4之前的4.1.x和4.2.x以及4.4rc1之前的4.3.x和4.4.x中使用的漏洞,允许远程攻击者通过与swfstore.swf相关的向量注入任意web脚本或HTML,这与CVE-2010-4209类似。

输入图片说明

他的意思就是说 2.9.0 版本中的 Flash组件允许远程攻击者通过与swfstore.swf相关的向量注入任意web脚本或HTML导致的跨站脚本(XSS)漏洞。

3.1 检查是否使用了 YUI 的 Flash 组件

输入图片说明

可以看到代码只使用了 YUI 的 lang.extend 方法,并没有 Flash 组件的使用。原理上该项目是不存这个漏洞的,那么安全扫描是怎么扫出来存在漏洞的呢?

3.2 安全扫描报告

输入图片说明

通过报告可以看出,他是通过 YUI:2.9.0 这个版本号来得出安全隐患的。

4. 解决办法

通过上边分析,首先我们代码中没有使用 YUI 的 Flash 组件,所以不存在安扫报告里边的漏洞,但是你又高让安全扫描通过,而安全扫描是通过 YUI:2.9.0 版本号来确定存在隐患的,解决办法:删除版本号。

4.1 使用压缩后的文件
// 旧的引入方式
import JSEncrypt from 'jsencrypt'
// 新的引入方式
import JSEncrypt from 'jsencrypt/bin/jsencrypt.min'
4.2 删除注释
  1. 删除注释:vue.config.js 配置代码
chainWebpack(config) {
  // 删除注释
  config.optimization.minimizer('terser').tap(args => {
    // 直接修改 terserOptions 下的属性值,保留原有配置
    // 这里访问 terserOptions 的时候并没有 output,访问不到 output.comments 需要直接赋值
    args[0].terserOptions.output = {
      comments: false,
    }
    return args
  })
}
  1. 在漏洞项目运行报错
    输入图片说明

5. Vue项目WebPack打包删除注释和console

5.1 安装 uglifyjs-webpack-plugin
npm install uglifyjs-webpack-plugin -D
5.2 vue.config.js 配置
const UglifyJsPlugin = require('uglifyjs-webpack-plugin')
 
module.exports = {
  configureWebpack: {
    optimization: {
      minimizer: [
        new UglifyJsPlugin({
          uglifyOptions: {
            // 删除注释
            output: {
              comments: false
            },
            // 删除console debugger 删除警告
            compress: {
              drop_console: true, //console
              drop_debugger: false,
              pure_funcs: ['console.log'] //移除console
            }
          }
        })
      ]
    }
  }
}

6. 总结

  1. 最后通过安全扫描,其实这个漏洞只是存在隐患,项目中并没有使用 YUI 的 Flash 组件,因此是不存在这个漏洞,但是项目要通过安全扫描,没有办法,只能根据扫描工具的定位漏洞方法,去解决。
  2. 这个过程都是根据已存在的博客去依次排查解决,所以这些问题遇到了,就只能看能不能在网上找到解决办法,下一次一个安扫问题,估计不一定能解决。
绿盟安全扫描--检测目标站点存在javascript框架库漏洞
**My Coding Family**
12-17 1870
🏆本文收录于专栏,主要记录项目实战过程中所遇到的Bug或因后果及提供真实有效的解决方案,希望能够助你一臂之力,帮你早日登顶实现财富自由🚀;同时,欢迎大家!持续更新中,up!up!up!!
JavaScript安全漏洞全景与防御指南
a181001_的博客
05-16 1083
JavaScript安全是一场永不停歇的攻防战。随着WebAssembly、Serverless等新技术兴起,新的攻击面不断涌现。开发者需建立持续学习的安全思维,将安全实践植入开发全生命周期。记住:真正的安全不在于绝对防护,而在于让攻击成本远高于收益值。
retire.js:扫描程序检测已知漏洞JavaScript库的使用
01-30
Retire.js 您所需要的还必须退休 在Web上以及在那里的Node.JS应用程序中都有大量JavaScript库。 这极大地简化了开发,但是我们需要保持最新的安全修补程序。 现在,“使用具有已知漏洞的组件”已成为安全风险列表的一部分,不安全的库可能给您的Web应用带来巨大的风险。 Retire.js的目标是帮助您检测具有已知漏洞的JS库版本的使用。 Retire.js可以通过多种方式使用: 命令行扫描仪 扫描Web应用程序或节点应用程序以使用易受攻击JavaScript库和/或Node.JS模块。 在应用程序文件夹的源代码文件夹中运行: $ npm install -g retire $ retire Grunt插件 在应用程序的构建例程或某些其他自动化工作流程中 。 Gulp任务 一个Gulp任务的示例,可以在gulpfile中使用它来自动监视和扫描项目文件。 您可以根据需要修改监视模式和(可选)Retire.js选项。 const c = require ( 'ansi-colors' ) ; var gulp = require ( 'gulp' ) ; var be
使用绿盟扫描出低危漏洞检测目标URL存在客户端(JavaScript)Cookie引用【可验证】”解决方法
最新发布
weixin_48469176的博客
06-27 173
【代码】使用绿盟扫描出低危漏洞检测目标URL存在客户端(JavaScript)Cookie引用【可验证】”解决方法。
检测目标站点存在javajscript框架库漏洞
qq_44974015的博客
04-14 309
1.web应用漏洞扫描jquery-1.12.4版本,moment.js2.29.1版本存在漏洞
js页面检测目标站点存在javascript框架库漏洞
热门推荐
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
01-28 1万+
一、概述 在系统验收前安全检查时,绿盟检查到系统存在页面检测目标站点存在javascript框架库漏洞,如下所示: 二、分析处理 这个漏洞是绿盟扫描比较常见的一个漏洞,原因就是jquery版本过低。升级到3.3以上就可以了。 建议升级jquery,但盲目升级会导致网站部分插件不可用;本项目采用spring架构,建议处理: 1)、根据web应用漏洞,找到详情页,里面有具体的路径信息。从路径中找到该文件; 2)、注释掉版本信息; 3)、用最高版本信息代替。 如果是vue项目,你再里面引用了js-cookie
安全扫描检测目标站点存在javascript框架库漏洞
qq_42522803的博客
02-08 3958
检测目标站点存在javascript框架库漏洞解决方法
安全漏洞检测目标站点存在javascript框架库漏洞
面向未来的历史
03-12 1万+
将用若依框架开发的后台管理系统代码使用绿盟安全检测,结果:检测目标站点存在javascript框架库漏洞。 如图: 网上针对这个问题一般都是说jquery 版本过低,升级版本就行,但是若依中并没有使用 jquery。 或者将 cookie 改成 localstorage 若依框架中的确是用了 js-cookie。 将cookie 改为 localStorage 后, 该问题还是存在。 ...
检测目标站点存在javascript框架库漏洞
深漂小码哥
08-07 427
其实这是最好与最简单的修复方式,但是最新版的jquery不兼容旧版本,很多的api被废除了,所以如果升级到最新版的话,容易崩,还有个方式就是jquery团队推出的一个插件migrate。这个方法其实挺苟的,就是让扫描器无法识别该js版本号,操作方法就是将jquery文件头部带版本号的注释删除,并将文件内的版本号删除。不想删的可以改成最新的版本号:3.5.1。
javascript漏洞-检测目标站点存在javascript框架库漏洞
laughingsister的博客
05-18 6026
一般是让升级为最新的版本的脚本文件,但是实际使用过程中,有的插件不兼容,盲目升级会导致网站部分插件不可用。 下面是一种解决方案。 比如漏洞扫描出jquery:2.1.4。作以下处理: 一、根据web应用漏洞,找到详情页,里面有具体的路径信息。从路径中找到该文件; 二、注释掉版本信息; 三、用最高版本信息代替。 基本上可以解决检测目标站点存在javascript框架库漏洞】问题。 ...
【渗透测试】-vulnhub源码框架漏洞-Os-hackNos-1
weixin_65311462的博客
09-18 1687
源码框架是指在软件开发过程中,为了提高开发效率、简化开发流程、提高代码质量和可靠性的基础架构和模板。若该框架中存在漏洞,hacker便可以此漏洞,迅速发起所谓的“1day攻击”-针对那些尚未应用相应安全补丁的、使用了该漏洞框架的网站或应用进行广泛而有效的渗透,严重威胁到用户数据的安全性和服务的稳定性。
在Kali Linux渗透测试-漏洞扫描的方法
m0_73890999的博客
10-17 1681
CMS(content management system,内容管理系统),是一种位于web前端(web服务器)和后端办公系统或流程之间的软件系统,可以帮助公司管理数字内容,为存储内容的单一平台,借助内置的工作流程,为数字内容的写作式管理和创建提供自动化流程,并根据角色分配不同的权限和责任。耦合CMS:称为传统CMS,提供一个完全可访问的后端,可以连接和修改网站的数据库,并将内容发布到带有样式的前端,它需要专门的网站托管才能运行,还需要管理员对其进行设置并配置安装系统才可以持续使用。
JavaScript安全漏洞深度剖析与Rational AppScan自动化检测
由于开发人员对JavaScript代码的重视不足,据统计,2011年中期,世界五百强和知名网站中有高达40%的站点存在JavaScript安全漏洞。 这些漏洞主要包括跨站脚本(Cross-Site Scripting,XSS)和重定向漏洞。XSS漏洞是...
信息服务上线渗透检测网络安全检查报告和解决方案4(网站风险等级评定标准、漏洞危害分级标准、漏洞安全建议)
cc123489ll的博客
05-24 1125
漏洞扫描是指对网络应用、服务器等进行全面的安全检测,以发现其中存在安全漏洞,从而及时修复,确保网络系统的安全性。一种常见的漏洞扫描方法是黑盒测试,即对系统进行模拟攻击来发现潜在的漏洞风险。以下是一些常用的扫描工具:Nessus:开源的漏洞扫描工具,可用于扫描多种操作系统和应用程序漏洞,并提供了详细的用户和管理员报告。Acunetix:自动化的漏洞扫描工具,支持扫描 Web 应用、网络、API 等,能够发现多种漏洞类型。
Web安全问题记录以及解决方案
蒋小姐的博客
02-04 2194
当登录时,接口返回token作为所有接口登录的凭证,web端保存token,一般用cookie的方法。查资料发现这种保存方式存在漏洞。至于页面上的数据,全局查询cookie,存放在。jquery版本过低。
客户端验证框架(JavaScript)推荐
【昆山人在上海】
01-05 770
1.rapid-validationhttp://code.google.com/p/rapid-validation/介绍:http://wiki.javascud.org/display/si/Javascript_RapidValidation 2.jQuery formValidatorhttp://wzmaodong.cnblogs.com/http://he
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Rattenking

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值