XSS漏洞

zhaoliang · 发表于 2017-7-11 17:27:05

jishuang 发表于 2017-7-11 17:03
用datatables组件运行显示的会有XSS漏洞，发的压缩包有问题重新发一下

客户扫描的结果是：/UI2/system/service/common/getBusinessServer.j 文件存在问题，请见图。
但是我们发现服务器上/UI2/system/service/common/getBusinessServer.j文件的大小为0，没有任何内容。
datatables不知道和/UI2/system/service/common/getBusinessServer.j文件之间是不是有关系。
请问一下是因为/UI2/system/service/common/getBusinessServer.j为空导致的xss攻击风险吗？
datatable经测试下载没有问题。

zhaoliang · 发表于 2017-7-11 17:29:57

重新上传一个dataTables,之前同事发的好像是下载后不能解压。

zhaoliang · 发表于 2017-7-11 17:31:22

我重新上传后再下载下来，还是不能用，直接上传一个修改扩展名的文件吧。

zhaoliang · 发表于 2017-7-11 17:33:00

js还不能上传，重新压缩了一个，试试这个吧。

jishuang · 发表于 2017-7-12 09:30:35

这个跟dataTables无关
.j的漏洞的可以把
/UI2/portal/mobile/index.js
/UI2/portal/pc/index.js
/UI2/portal/pc3/index.js这三个文件中的window.__justep.directConnectBiz = true;注释掉，然后把/UI2/system/service/common/getBusinessServer.j和/UI2/system/service/common/dsrc/GetBusinessServer.java删除

压缩包还是有问题

		自动登录	找回密码
密码			注册

[结贴] XSS漏洞