Fortify JavaScript 劫持:易受攻击的框架 aspx 使用 Jquery Ajax
Fortify JavaScript Hijacking: Vulnerable Framework aspx using Jquery Ajax
我正在处理遗留系统,我们只是用 HP Fortify 扫描了它并得到了
JavaScript 劫持:易受攻击的框架,代码如下。
我能做些什么来确保这一点?我没有完全理解这个问题。
function getMissionOverwriteDocsDataCountComponent(siteNo, fcg, catCode, facNo, assetUid, compNo) {
// Make the Ajax call
$.ajax({
url: 'MissionOverwriteAj.aspx',
data: {
reqType: 'getMissionOverwriteDocsCountComponent',
siteNo: siteNo,
fcg: fcg,
catCode: catCode,
facNo: facNo,
assetUid: assetUid,
compNo: compNo
},
dataType: "text",
cache: false,
async: false,
error: errorFunc,
success: function(response){
//alert(response);
attCount = response;
}
});
}
这会在 VB
中调用一个 ASPX 页面
Protected Sub Page_Load(ByVal sender As Object, ByVal e As System.EventArgs) Handles Me.Load
Dim reqType As String = Request.Params("reqType")
userID = Session(UserID).ToString()
orgID = Session(OrgID).ToString()
facility = New Facility(Request.Params("siteNo"),
Request.Params("facNo"),
Request.Params("fcg"),
Request.Params("catCode"),
Request.Params("assetUid"))
' Determine what type of call is being made.
Select Case reqType
有点想在这里赌一把。我认为它可能指的是 jQuery,但是你的代码部分出现了,因为它包含 jQuery。
This site 表明 Jquery 在早期版本中存在一些问题。尝试更新 jQuery 并重新运行您的审核。这应该有望解决问题。
我正在处理遗留系统,我们只是用 HP Fortify 扫描了它并得到了 JavaScript 劫持:易受攻击的框架,代码如下。 我能做些什么来确保这一点?我没有完全理解这个问题。
function getMissionOverwriteDocsDataCountComponent(siteNo, fcg, catCode, facNo, assetUid, compNo) {
// Make the Ajax call
$.ajax({
url: 'MissionOverwriteAj.aspx',
data: {
reqType: 'getMissionOverwriteDocsCountComponent',
siteNo: siteNo,
fcg: fcg,
catCode: catCode,
facNo: facNo,
assetUid: assetUid,
compNo: compNo
},
dataType: "text",
cache: false,
async: false,
error: errorFunc,
success: function(response){
//alert(response);
attCount = response;
}
});
}
这会在 VB
中调用一个 ASPX 页面 Protected Sub Page_Load(ByVal sender As Object, ByVal e As System.EventArgs) Handles Me.Load
Dim reqType As String = Request.Params("reqType")
userID = Session(UserID).ToString()
orgID = Session(OrgID).ToString()
facility = New Facility(Request.Params("siteNo"),
Request.Params("facNo"),
Request.Params("fcg"),
Request.Params("catCode"),
Request.Params("assetUid"))
' Determine what type of call is being made.
Select Case reqType
有点想在这里赌一把。我认为它可能指的是 jQuery,但是你的代码部分出现了,因为它包含 jQuery。
This site 表明 Jquery 在早期版本中存在一些问题。尝试更新 jQuery 并重新运行您的审核。这应该有望解决问题。