该文被密码保护。 阅读全文
摘要:
背景: 有另一个项目,扫描后也出现了yargs-parser@11.1.1漏洞。 是不是可以按照之前文章的方法来解决? package.json依赖包漏洞之yargs-Parser输入验证错误漏洞 第一步: 是查看是否存在漏洞的版本和依赖树结构。 执行命令:npm ls yargs-parser@1 阅读全文
摘要:
背景 项目需要接入cdn加速域名,但只能在生产环境验证。 所以发版之前本地先准备好cdn的包,然后发版的时候部署到生产环境, 结果发现,点击菜单后页面的URL不对了,静态资源加载是可以的。 本来页面URL是这样的:test.com/app/xpg/ind… 但点击菜单后,把cdn的域名加上去了:te 阅读全文
摘要:
原型链污染漏洞CVE: 1、yargs-Parser 输入验证错误漏洞(CVE-2020-7608) 2、tough-cookie 安全漏洞(CVE-2023-26136) 3、JSON5 原型污染漏洞(CVE-2022-46175) 漏洞描述: 1、yargs-Parser 输入验证错误漏洞(CV 阅读全文
摘要:
背景 有个安全扫描的流水线,扫描了负责的项目之后,发现一些漏洞。 需要说明的是,这个扫描只是针对package.json文件,扫的是依赖树,而不是项目源代码,也不是打包后的代码。 但既然是漏洞,都是可以好好学习下的。 nodejs-glob-parent正则表达式拒绝服务漏洞(CVE-2020-28 阅读全文
摘要:
背景 有个安全扫描的流水线,扫描了我负责的项目之后,发现一些漏洞。 需要说明的是,这个扫描只是针对package.json文件,扫的是依赖树,而不是项目源代码,也不是build打包后的代码。 这些正是我们提升项目安全性的宝贵机会。让我们一起来看看这些发现,并学习如何将它们转化为我们的优势。 toug 阅读全文
摘要:
背景 有个安全扫描的流水线,扫描了负责的项目之后,发现一些漏洞。 需要说明的是,这个扫描只是针对package.json文件。 扫的是依赖树,而不是项目源代码,也不是打包后的代码。 但既然是漏洞,都是可以好好学习下的。 yargs-Parser输入验证错误漏洞(CVE-2020-7608) 被扫描出 阅读全文
摘要:
一、程序员职业的四大象限: 详情请查看: 《程序员必读的职业规划书》读后感 阅读全文
摘要:
window.open是javascript中的一个方法,用于在新的浏览器窗口或标签页中打开指定的URL。然而,如果不正确地使用,它可能会引入安全漏洞。 一、window.open漏洞Demo Demo是一个简单的html,点击button,然后通过window.open打开另一个地址,比如百度首页 阅读全文
摘要:
DOMPurify是什么? DOMPurify是一个针对DOM的XSS清理器。 DOMPurify有什么作用? DOMPurify可以清理HTML并防止XSS攻击。 你可以用有恶意代码的HTML字符串来测试DOMPurify,它将返回一个带有干净的HTML字符串。 DOMPurify将去除所有包含危 阅读全文
摘要:
问题 有一个需求: 需要前端从接口返回的版本号列表中,找出最大的版本号。 比如接口返回的版本列表是: ['6.11', '6.11.03', '6.11.03', '6.11.06', '6.11.05', '6.11.07', '6.11.09', '6.12', '6.11.12'], 那前端找 阅读全文