62,247
社区成员
发帖
与我相关
我的任务
分享站点存在javascript框架库漏洞和目标URL存在http host头攻击漏洞
序号 漏洞名称 影响页面个数 出现次数
1 检测到目标站点存在javascript框架库漏洞 1 1
受影响站点
详细描述 JavaScript 框架或库是一组能轻松生成跨浏览器兼容的 JavaScript 代码的工具和函数。如果网站使用了存在漏洞的 JavaScript 框架或库,攻击者就可以利用此漏洞来劫持用户浏览器,进行挂马、XSS、Cookie劫持等攻击。
解决办法 将受影响的javascript框架库升级到最新版本。
威胁分值 6
危险插件 否
发现日期 2001-01-01
CVSS评分 6.1(CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N)
2 检测到目标URL存在http host头攻击漏洞 1 1
受影响站点
详细描述 为了方便的获得网站域名,开发人员一般依赖于HTTP Host header。例如,在php里用_SERVER["HTTP_HOST"]。但是这个header是不可信赖的,如果应用程序没有对host header值进行处理,就有可能造成恶意代码的传入。
解决办法 web应用程序应该使用SERVER_NAME而不是host header。
在Apache和Nginx里可以通过设置一个虚拟机来记录所有的非法host header。在Nginx里还可以通过指定一个SERVER_NAME名单,Apache也可以通过指定一个SERVER_NAME名单并开启UseCanonicalName选项。
威胁分值 5
危险插件 否
发现日期 2008-06-12
CVSS评分 6.1(CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N)
这是检测出来的漏洞,是开发者的问题还是系统的问题,急求答案
1 检测到目标站点存在javascript框架库漏洞 1 1
受影响站点
详细描述 JavaScript 框架或库是一组能轻松生成跨浏览器兼容的 JavaScript 代码的工具和函数。如果网站使用了存在漏洞的 JavaScript 框架或库,攻击者就可以利用此漏洞来劫持用户浏览器,进行挂马、XSS、Cookie劫持等攻击。
解决办法 将受影响的javascript框架库升级到最新版本。
威胁分值 6
危险插件 否
发现日期 2001-01-01
CVSS评分 6.1(CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N)
2 检测到目标URL存在http host头攻击漏洞 1 1
受影响站点
详细描述 为了方便的获得网站域名,开发人员一般依赖于HTTP Host header。例如,在php里用_SERVER["HTTP_HOST"]。但是这个header是不可信赖的,如果应用程序没有对host header值进行处理,就有可能造成恶意代码的传入。
解决办法 web应用程序应该使用SERVER_NAME而不是host header。
在Apache和Nginx里可以通过设置一个虚拟机来记录所有的非法host header。在Nginx里还可以通过指定一个SERVER_NAME名单,Apache也可以通过指定一个SERVER_NAME名单并开启UseCanonicalName选项。
威胁分值 5
危险插件 否
发现日期 2008-06-12
CVSS评分 6.1(CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N)
这是检测出来的漏洞,是开发者的问题还是系统的问题,急求答案
...全文
请发表友善的回复…
发表回复
weixin_47508536 2022-06-07
- 打赏
- 举报
急求第一个问题的解决方案
snowflakezyr 2021-07-27
- 打赏
- 举报
你好,请问怎么解决的第二个问题,IIS 中安装rewrite工具,安装完rewrite,规则没配置,网站就503不能使用了。
雷克萨斯-阿基米德 2021-07-23
- 打赏
- 举报
有些人回答问题真的都不从实际考虑的,jquery是想升就随便升的吗?不考虑其他框架的调用?不考虑兼容?
zk0233 2020-04-16
- 打赏
- 举报
1、javascript框架库漏洞,需要将程序中的jquery库升级到较高版本,比如3.4.1 并且把现在用的删除。
2、http host头攻击漏洞 在IIS中安装rewrite工具进行配置,除了必要站点IP外,其它IP拒绝服务。
weixin_47032430 2020-04-13
- 打赏
- 举报
谢谢各位大老们帮忙解决一下
