Discuz网站360安全检测报告使用存在漏洞的JQuery版本漏洞的解决方案 [复制链接]
3720
0
昨天使用360网站安全检测对魔趣建站进行安全扫描,一直以来都是90分以上的,突然说存在高危安全漏洞,看了才知道说是使用存在漏洞的JQuery版本,也就是正在使用的JQuery版本太低了,存在安全漏洞!如下图:
【360提供的解决方案】基本相当于没说!
解决方案:
方案一:
1. 过滤用户输入的内容,检查用户输入的内容中是否有非法内容。如<>(尖括号)、"(引号)、 '(单引号)、%(百分比符号)、;(分号)、()(括号)、&(& 符号)、+(加号)等。
2. 严格控制输出
可以利用下面这些函数对出现xss漏洞的参数进行过滤
1、htmlspecialchars() 函数,用于转义处理在页面上显示的文本。
2、htmlentities() 函数,用于转义处理在页面上显示的文本。
3、strip_tags() 函数,过滤掉输入、输出里面的恶意标签。
4、header() 函数,使用header("Content-type:application/json"); 用于控制 json 数据的头部,不用于浏览。
5、urlencode() 函数,用于输出处理字符型参数带入页面链接中。
6、intval() 函数用于处理数值型参数输出页面中。
7、自定义函数,在大多情况下,要使用一些常用的 html 标签,以美化页面显示,如留言、小纸条。那么在这样的情况下,要采用白名单的方法使用合法的标签显示,过滤掉非法的字符。
各语言示例:
PHP的htmlentities()或是htmlspecialchars()。
Python的cgi.escape()。
ASP的Server.HTMLEncode()。
ASP.NET的Server.HtmlEncode()或功能更强的Microsoft Anti-Cross Site Scripting Library
Java的xssprotect(Open Source Library)。
Node.js的node-validator。
方案二:使用开源的漏洞修复插件。
【魔趣建站实际测试尝试修复过程】
既然知道原因了,那么修复的方法也就很简单了,很多人以为更新最新版本的JQuery就行了!官网是:http://jquery.com/download/ 在这里下载最新版本的JQuery,然后按照360网站安全检测提示的目录替换对应的JQuery,再按照对应目录修改文件中调用的名称就完成了升级!但是,魔趣建站在修复后再次检测发现,仍然报漏洞!要知道这种检测和360对网站的收录也是有着关联的,分数太低可能会影响收录!我们继续研究,接下来我们去除了JQuery内的版本号并修改了JQuery的名称,再次检测结果如下:
这说明,360这次检测纯属瞎扯淡!!无论怎么升级修复仍然报错,我们不得不对360的检测结果及这个在线检测工具的准确性做出再次判断了!!大家可以升级到最新版的JQuery,如果仍然报错,那么就不用管了!
【360提供的解决方案】基本相当于没说!
解决方案:
方案一:
1. 过滤用户输入的内容,检查用户输入的内容中是否有非法内容。如<>(尖括号)、"(引号)、 '(单引号)、%(百分比符号)、;(分号)、()(括号)、&(& 符号)、+(加号)等。
2. 严格控制输出
可以利用下面这些函数对出现xss漏洞的参数进行过滤
1、htmlspecialchars() 函数,用于转义处理在页面上显示的文本。
2、htmlentities() 函数,用于转义处理在页面上显示的文本。
3、strip_tags() 函数,过滤掉输入、输出里面的恶意标签。
4、header() 函数,使用header("Content-type:application/json"); 用于控制 json 数据的头部,不用于浏览。
5、urlencode() 函数,用于输出处理字符型参数带入页面链接中。
6、intval() 函数用于处理数值型参数输出页面中。
7、自定义函数,在大多情况下,要使用一些常用的 html 标签,以美化页面显示,如留言、小纸条。那么在这样的情况下,要采用白名单的方法使用合法的标签显示,过滤掉非法的字符。
各语言示例:
PHP的htmlentities()或是htmlspecialchars()。
Python的cgi.escape()。
ASP的Server.HTMLEncode()。
ASP.NET的Server.HtmlEncode()或功能更强的Microsoft Anti-Cross Site Scripting Library
Java的xssprotect(Open Source Library)。
Node.js的node-validator。
方案二:使用开源的漏洞修复插件。
【魔趣建站实际测试尝试修复过程】
既然知道原因了,那么修复的方法也就很简单了,很多人以为更新最新版本的JQuery就行了!官网是:http://jquery.com/download/ 在这里下载最新版本的JQuery,然后按照360网站安全检测提示的目录替换对应的JQuery,再按照对应目录修改文件中调用的名称就完成了升级!但是,魔趣建站在修复后再次检测发现,仍然报漏洞!要知道这种检测和360对网站的收录也是有着关联的,分数太低可能会影响收录!我们继续研究,接下来我们去除了JQuery内的版本号并修改了JQuery的名称,再次检测结果如下:
这说明,360这次检测纯属瞎扯淡!!无论怎么升级修复仍然报错,我们不得不对360的检测结果及这个在线检测工具的准确性做出再次判断了!!大家可以升级到最新版的JQuery,如果仍然报错,那么就不用管了!
最新回复 (0)