关键漏洞信息 漏洞类型: Cross-site Scripting (XSS) 受影响的包: angular 受影响的版本: <1.8.0 CVE编号: CVE-2020-7676 CWE编号: CWE-79 引入日期: 2020年5月10日 严重性: 5.0(中等) 修复建议: 升级angular到1.8.0或更高版本 威胁情报: EPSS 0.75%(第73百分位) 漏洞描述 概述: - angular包允许你在客户端编写web应用,如果有了一个更智能的浏览器。它还允许你使用HTML作为模板语言,并扩展HTML语法以清晰简洁地表达应用程序的组件。 - 受影响版本存在XSS漏洞。正则表达式输入HTML替换可能导致被带回的代码变成未被净化的代码,封装在 元素的 元素中可能导致行为改变,转换为可能未经净化的代码。 XSS细节: - XSS是一种代码漏洞,当攻击者向值得信赖的网站“注入”恶意脚本时会发生。 - 攻击者通过在Web应用程序内容中注入恶意脚本,该脚本在客户端(通常是JavaScript或HTML)上未验证地执行。 - 注入恶意代码是利用XSS最常见的方法。为了防止这种操作,转义字符以防止这种漏洞是保护代码的首要方法。 攻击类型: - 存储型: 由服务器存储恶意代码,用户点击链接时激活。 - 反射型: 攻击者从易受攻击的Web应用程序外部向用户发送恶意链接,点击后恶意代码返回用户的浏览器。 - DOM型: 攻击者强迫用户的浏览器渲染恶意页面,页面本身提供跨站脚本数据。 - 变种型: 攻击者注入看似安全的代码,被浏览器解析时改写和修改。 受影响环境: Web服务器、应用服务器、Web应用环境。 防御措施: - 在HTTP请求中对数据进行净化。 - 转换特殊字符。 - 给用户禁用客户端脚本的选项。 - 重定向无效请求。 - 检测同时登录。 - 采用内容安全策略。 - 阅读引用库的文档了解允许嵌入HTML的元素。