我正在审查一份网络扫描漏洞报告,并相信微软已经缓解了所报告的漏洞(基于 jquery 和 bootstrap 版本),但找到微软的文档会很有帮助。
“根据其自报的版本号,Bootstrap 是 3.4.1 之前的 3.x 或 4.3.1 之前的 4.x。因此,它可能受到通过工具提示和弹出插件的数据模板属性的跨站点脚本漏洞的影响。请注意,扫描仪尚未针对这些问题进行测试,而仅依赖于应用程序自报的版本号。”
“根据其自报的版本号,jQuery 至少为 1.4.0 且早于 1.12.0,或至少为 1.12.4 且早于 3.0.0-beta1。因此,由于跨域 ajax 请求未使用 dataType,因此它可能受到跨站点脚本漏洞的影响。请注意,扫描仪尚未针对这些问题进行测试,而是仅依赖于应用程序自报的版本号。”
这是针对托管在 Dynamics CRM 9.1.0.18950 中的站点。
谢谢你!
答案1
根据Microsoft 文章你忘了链接到原始问题(重点是我的):
Microsoft Dynamics 365 正在利用 jQuery 的稳定分支版本,其中包括 3.x、2.x 和 1.x。虽然库中的特定功能存在风险,但 jQuery 的所有使用都已在我们的 Microsoft SDL 流程中经过广泛审查,并且我们已确保易受攻击的方法未使用。
简而言之,这些方法本身并没有得到缓解,但由于它们没有被使用,所以并不重要。