stormtrooper
2019-08-13 13:34:53 UTC
我們的Web應用程序使用一個內嵌jQuery的HTML文件。根據jQuery許可證( https://jquery.org/license/),我們必須保留許可證標頭完整,包括版本號。
我們的客戶報告該產品和版本組合的暴露存在安全風險。奇怪的是,沒有將同一文件中的引導程序版本報告為安全隱患。
許多應用程序都使用內部帶有版本號的庫。甚至可以通過在Firebug或Chrome的開發者控制台中運行一些代碼來獲取版本號。
在什麼情況下會出現這種“安全性配置錯誤”( https://www.owasp.org/index。 php / Top_10-2017_A6-Security_Misconfiguration)是否適用於顯示產品和版本號?以及如何在不違反jQuery許可證的情況下解決此問題?
我認為您存在邏輯錯誤,因為信息披露被等同為安全配置錯誤。它們絕不是相同或相關的。
“ *奇怪的是,同一文件中的引導程序版本沒有報告為安全隱患。*”他們可能隨機發現了jQuery版本號並進行了報告。或者他們可能認為,對他們發現的每個版本號進行挑剔是多餘的。或者他們的自動化工具剛剛發現了jQuery。就像軟件永遠不會存在錯誤一樣,因為程序員不會想到每一個極端情況,也不知道每個怪癖(或者可能沒有足夠的時間這樣做),因此滲透測試也是不精確的事情。
從許可證文件中刪除版本號仍然無濟於事,因為攻擊者只能手動檢查您使用的版本。
@MechMK1不會,如果您在某處/任何地方添加無法訪問的代碼(例如`if(true === false){}`)或隨機空格,則其自動匹配器將無法確定地匹配版本。
@MonkeyZeus如果您使用天真的精確匹配,那麼您將是正確的。但是,如果檢查相似度,那麼對jQuery 3.1.7的細微修改仍然看起來像jQuery 3.1.7一樣為99.8%。
@MechMK1已經無數次提及,如果攻擊者專門針對您,那麼這無關緊要,特別是在談論像JS這樣的發送給客戶端的代碼時,但是如果您只是想避免腳本小子,那麼即使是一點點晦澀的“幫助”。真正的安全性配置錯誤是使用了易受攻擊的版本。即使您沒有使用易受攻擊的版本,也很難使瀏覽器使用易受攻擊的版本。老實說,如果您的網站由於JS而易受攻擊,那麼從安全角度來看,您在做錯事。
@MonkeyZeus是的,我知道,但這並不是重點。Script Kiddies使用完善的自動化工具,而不是劣質的自行編寫工具。每個基本的webapp分析器都將能夠識別修改後的jQuery版本,因此嘗試對其進行混淆會導致問題,並且不會獲得安全利益。儘管我想知道如何使瀏覽器使用易受攻擊的jQuery版本,但是如果該站點包含的版本沒有任何已知的漏洞。
@MechMK1複製+粘貼+輸入到控制台窗口:`var script = document.createElement('script');script.type ='text / javascript';script.src ='https://ajax.googleapis.com/ajax/libs/jquery/1.2.3/jquery.min.js';document.head.appendChild(script);警報(jQuery.fn.jquery);`
花時間嘗試隱藏客戶端庫版本,而不是花時間解決實際的安全問題可能會使您更容易受到攻擊。
@MonkeyZeus是的,但是您只能對自己而不對他人這樣做。例如,您不能使我使用易受攻擊的jQuery版本。
我在https://jquery.org/license/上沒有看到任何指示版本號需要保持完整的指示。它說版權標頭需要……只要您擁有版權2005、2014 jQuery Foundation,Inc.和其他貢獻者;根據MIT許可證發布;我不希望他們會注意。
@ceejayoz如前所述,無論如何都無法幫助您掩蓋該版本。
@MechMK1可以,但是這可以幫助OP擺脫客戶的安全掃描程序。
使掃描儀停止抱怨的@ceejayoz“修復”問題是您可以做的“最糟糕的事情”之一。當然,刪除許可證文件中的版本是不夠的,但這從根本上是錯誤的方法。像這樣的東西就是為什麼Debian PRNG錯誤出現的原因。
@MechMK1只要OP具有jQuery的安全版本,這裡的掃描器結果都是“假陽性”。我不主張掩蓋不安全的版本;我說的是可以以這種方式安全地處理被標記的版本公開。
@ceejayoz是的,的確如此,在這種情況下,我不會看到任何問題。但是我認為,總的來說,最好學習如何將報告標記為誤報,而不是急於執行“修復”。
@MechMK1公平,我可以同意。