求助，有关安全漏洞扫描 JavaScript 中对 cookie 的引用

水木社区手机版

主题:求助，有关安全漏洞扫描 JavaScript 中对 cookie 的引用
楼主|Donlleir|2023-09-13 10:59:21|展开
公司一个系统要出一个安全报告，然后就找了一家公司做。
他们漏扫出一个低风险漏洞，“在应用程序测试过程中，检测到 JavaScript 中对 cookie 的引用。”

我这边查下来，这些代码是axios源码里有对cookie的操作，vite打包后，就出现在打包后的代码里了。

请问这种问题都是怎么解决的？

按理说axios这种库存在这样的操作，那么是不是也说明做安全漏扫的认定太落后，太机械了？
--
FROM 180.167.122.*
2楼|Donlleir|2023-09-13 11:48:03|展开
多谢回复。

我也想啊，主要是报告是出给客户看的，他们一看就会说怎么还有低风险漏洞，怎么不解决。

自己才不会花钱找那种测试公司给检查安全情况呢。

【在 shaolin 的大作中提到: 】
: 忽略就行。
:
--
修改:Donlleir FROM 180.167.122.*
FROM 180.167.122.*
4楼|Donlleir|2023-09-13 12:00:20|展开
多谢回复，
就是客户是外行中的外行，又是政府机关那种，比较难。

【在 eggcar 的大作中提到: 】
: 低风险不用管，解释一下就行了
--
FROM 180.167.122.*
6楼|Donlleir|2023-09-13 12:41:42|展开
多谢回复，不过确实没看懂。

【在 gfkid 的大作中提到: 】
: 那就别存了，反正客户也不关心
--
FROM 180.167.122.*
12楼|Donlleir|2023-09-14 12:23:14|展开
其他代码变量都混淆了，但是对document的cookie操作好像不能混淆吧，不然浏览器根本识别不了了。
【在 z16166 的大作中提到: 】
: 混淆后，也能检测出来？
--
FROM 180.167.122.*
13楼|Donlleir|2023-09-14 12:23:56|展开
厉害，学到了
【在 pigtracer 的大作中提到: 】
: 收钱扫描如果一个扫不出来，怎么交差？是不是他们技术不行？
: 严重的一个没有，他们也肯定要塞几个不严重的
: 当然更大概率的情况是，系统中其实有严重缺陷，他们根本发现不了。
: ...................
--
FROM 180.167.122.*