如何保护应用程序免受第 3 方 js 库中存在的 XSS 向量的影响?

【问题标题】:how to secure app against XSS vectors present in 3rd party js libs?如何保护应用程序免受第 3 方 js 库中存在的 XSS 向量的影响?
【发布时间】:2013-02-26 13:14:35
【问题描述】:

我在一个 android 移动应用程序中使用各种 3rd 方库,如 cordova.js、jquery、jquery mobile、mobilizer 等。通过不安全地使用 eval、settimeout、这些库被发现具有各种 XSS 向量,内部/外部html等等。

有什么方法可以覆盖/修复这些安全漏洞,并且仍然可以在我的应用程序中安全地使用这些库?

【问题讨论】:

  • 这些是真正的安全漏洞,还是警告您应该通过某种自动化工具更仔细地检查?
  • @Quentin 我们通过 IBM Appscan 运行该应用程序,在误报之后显示了许多高度严重的 XSS 问题。
  • 这听上去很像“请注意放置不受控制的数据的位置”,而不是实际的安全漏洞。
  • @ocelot 你确定剩下的不是误报吗?众所周知,AppScan 的结果是垃圾邮件,尤其是默认设置。

标签: javascript security libs


【解决方案1】:

这些漏洞应该报告给供应商,你应该使用他们的补丁。

利用 DOM Based XSS 和 android 是可能的,但是攻击向量受到更多限制,因为通常攻击者无法使用简单的 GET 或 POST 请求来利用这些漏洞之一。

【讨论】:

    猜你喜欢
    • 2012-02-16
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2010-10-01
    • 2012-04-05
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode