找回密码
 立即注册

QQ登录

只需一步,快速开始

[已处理] 安全漏洞处理

sinosilliker
金牌服务用户   /  发表于:2022-1-20 13:53  /   查看:1973  /  回复:9
1金币

   集团扫描通过活字格发布的应用,发现下面的几个漏洞,我们应该怎么处理啊



附件: 您需要 登录 才可以下载或查看,没有帐号?立即注册

9 个回复

倒序浏览
Howie.Sun讲师达人认证 悬赏达人认证 活字格认证
论坛元老   /  发表于:2022-1-20 18:38:49
沙发
您好,这个问题我们还需要调查一下,如果需要您补充什么资料的话,也希望您可以理解哦,有了调查结果以后再在论坛中给您反馈。
回复 使用道具 举报
sinosilliker
金牌服务用户   /  发表于:2022-1-21 09:23:10
板凳
好的,希望能尽快反馈
回复 使用道具 举报
Howie.Sun讲师达人认证 悬赏达人认证 活字格认证
论坛元老   /  发表于:2022-1-21 10:00:30
地板
本帖最后由 Howie.Sun 于 2022-1-21 10:22 编辑
sinosilliker 发表于 2022-1-21 09:23
好的,希望能尽快反馈

您好,第一个截图中的漏洞是Jquery 的安全漏洞,我们在 7.1 中已经升级到了最新版本 3.6.0,您可以试用7.1版本的活字格,看能否解决这个问题,升级的时候记得备份哦。而且这个问题做过调查,不影响以前的活字格版本。
第二个截图中的漏洞是在Http Response Header中,服务器版本暴露给了客户端。这是一个危害级别特别低的问题,可以忽略。如果咱非要去掉的话,可以通过配置网关,或者 ngnix 反向代理,把特定的Http Response Header去掉。
回复 使用道具 举报
sinosilliker
金牌服务用户   /  发表于:2022-1-21 10:12:45
5#
好的,新版升级后有些Bug,我们现在还不能升,能详细说下第二个的配置应该怎么操作吗 ?
回复 使用道具 举报
Howie.Sun讲师达人认证 悬赏达人认证 活字格认证
论坛元老   /  发表于:2022-1-21 10:29:29
6#
本帖最后由 Howie.Sun 于 2022-1-21 10:31 编辑
sinosilliker 发表于 2022-1-21 10:12
好的,新版升级后有些Bug,我们现在还不能升,能详细说下第二个的配置应该怎么操作吗 ?

您好,这个您可能要了解一下Ngnix反向代理的使用方法,因为这种方式解决这个问题比较简单。您可以参考一下这个链接。当然前提是您需要对Nginx有一定的了解和使用经验。
Nginx隐藏响应头信息的Server信息和版本信息-fengdoudm-ChinaUnix博客
其实第二个漏洞危害性非常非常低呢,不做处理也没问题的。

回复 使用道具 举报
sinosilliker
金牌服务用户   /  发表于:2022-1-21 10:40:06
7#
我们目前没有Nginx,这个没有用过…………
回复 使用道具 举报
Howie.Sun讲师达人认证 悬赏达人认证 活字格认证
论坛元老   /  发表于:2022-1-21 12:05:01
8#
sinosilliker 发表于 2022-1-21 10:40
我们目前没有Nginx,这个没有用过…………

网关配置的相关方法,我也不太懂呢,不知道贵公司有没有网络工程师呢,专门处理类似这种问题的相关人员,可以咨询一下使用配置网关的方式,把特定的Http Response Header去掉。
回复 使用道具 举报
sinosilliker
金牌服务用户   /  发表于:2022-1-21 13:15:27
9#
好的,我们先看看nginx
回复 使用道具 举报
Howie.Sun讲师达人认证 悬赏达人认证 活字格认证
论坛元老   /  发表于:2022-1-21 14:25:14
10#
sinosilliker 发表于 2022-1-21 13:15
好的,我们先看看nginx

好的,咱们这个第二个漏洞,是一个危害级别特别低的问题,可以忽略的,目前您不必担心使用问题。
回复 使用道具 举报
您需要登录后才可以回帖 登录 | 立即注册
返回顶部