javascript - 通过登录“隐藏”安全漏洞的旧javascript库?
问题描述
让我们想象一个需要登录才能使用所有功能的 Web 应用程序。因此,如果您没有任何帐户,则无法使用该应用程序(您无法自行创建帐户。)
我正在研究安全问题。其中一部分是查看使用的旧 javascript 库......但是真的有必要升级它们以摆脱安全漏洞吗?黑客需要登录才能利用 javascript 库?
解决方案
假设有漏洞的 JS 根本不提供给未登录的用户。(这是一个很大的假设)。
攻击者可以通过XSS、CSRF、社会工程等技术,通过合法用户的浏览器发起攻击。合法用户可能会变得流氓或让他们的密码落入攻击者手中。
修补您的安全漏洞。不要假设坏演员无法对付他们。
推荐阅读
- excel - 删除不包含多个指定单词之一的单元格
- java - 运行 SqlPlus 的 Jar 文件 - Mac OS X
- prometheus - Prometheus“向上”指标如何工作
- powershell - 如何在我的 PowerShell HTML 报告中添加 2 列?
- couchbase - Couchbase 服务器恢复
- javascript - Javascript:使用函数属性作为“静态”变量和优化
- sql-server - 使用 Report Builder 3.0 对 10 个数据库运行报告
- python - Jupyter Notebook:ModuleNotFoundError:没有名为“matplotlib.pylot”的模块
- python - 在python中调用数据库时如何说高度是否重复第一个打印重量较小的行?
- python - jupyter notebook 中的“模块”对象不是可调用错误