javascript – Scripts文件夹中的漏洞?

前端之家收集整理的这篇文章主要介绍了javascript – Scripts文件夹中的漏洞?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。

在我的.NET Web应用程序中,我通常有一个Scripts文件夹,其中包含我所有的JavaScript文件 – 大部分时间都是jQuery,偶尔会出现某种类型的JavaScript库.

我通过名为Nexpose的扫描程序对我的某个网站运行漏洞扫描,它告诉我Scripts文件夹对全世界开放 – 这意味着未经身份验证的用户可以下载文件夹中包含的JavaScript文件,这是一个关键的漏洞.根据Nexpose,Scripts文件夹应限制为仅允许经过身份验证的用户访问它.这引出了我的第一个问题.

如何将Scripts文件夹限制为仅经过身份验证的用户?我尝试将一个web.config文件放入Scripts文件夹,并拒绝以这种方式访问​​所有未经身份验证的用户,但它无法正常工作.我能够自己确定这个,但是进入我网站的登录页面,但没有登录,然后键入https://mywebsite/scripts/menubar.js,确定它允许我下载menubar.js文件.

第二个问题 – 为什么这被视为漏洞?我试图通过这里的可能性来推理我的方式,但我没有想出太多的东西.它是一个漏洞只是因为乔3333 h4x0r可以找出我正在使用的各种库,然后可能使用已知的漏洞攻击它们?

更新

绝大多数答案似乎是,因为.js文件可以在客户端的浏览器上打开和读取,所以不应该存在漏洞.可能存在的唯一漏洞是,如果开发人员以某种不安全的方式使用.js文件(我不是这样).

最佳答案
从逻辑上讲,您不希望实际禁止访问实际文件,因为您无法在网页中使用它们. Web服务器在请求文件作为呈现网页过程的一部分的浏览器与仅手动下载文件的人之间没有区别.

因此,您的第一个问题的答案是:您不能也不想.如果您不希望用户访问,请将其从Web文件夹中取出.如果需要呈现您的网站,那么您希望任何人都可以访问它,以便您的网站可以正常呈现.

至于为什么它被认为是一个漏洞,谁说它是?我现在可以使用任何Facebook使用的JavaScript.或者,更重要的是,我可以去美国银行或大通的网站,并开始查看他们的JavaScript.如果我有一个帐户,我甚至可以看一下用户登录后使用的JavaScript.

您可能需要担心的唯一问题是您始终需要担心的事情:暴露不应公开的细节.我不确定你为什么这么做,但是将数据库密码放在JavaScript文件中显然不是一个好主意.除此之外,没有什么可担心的.

猜你在找的jQuery相关文章