管理页面被扫描出漏洞，改如何解决？

597797776 · 2023 年10 月 8 日 06:34

IP:PORT/static/js/chunk-0632fc47.a0f1fc86.js?id=906255%40
管理页面被扫描出漏洞，改如何解决？
具体如下：

JimMoen · 2023 年10 月 9 日 02:38

597797776 · 2023 年10 月 9 日 09:29

版本是 5.1.3
扫描到具体就是这个页面有问题： IP:PORT/static/js/chunk-0632fc47.a0f1fc86.js?id=906255%40

597797776 · 2023 年10 月 10 日 01:21

@JimMoen 好像是被扫描出 Table 等关键字，被认为是不行的，这个js 是打印的吗？能否不显示呢？

JimMoen · 2023 年10 月 10 日 02:07

扫描到的具体字段/关键字是哪些内容呢？可否截图看下
这个文件不必打码或涂鸦覆盖，所有 js 代码都是开源的

597797776 · 2023 年10 月 10 日 02:13

就是这个，Table 被认为有风险。文档截图那边的就是我最开始发的那张图片

JimMoen · 2023 年10 月 10 日 02:32

应该是属于误报了
authn/authz 中有一些数据库 SQL 模板或数据库表结构示例，例如 authn_mysql:

597797776 · 2023 年10 月 10 日 02:49

@JimMoen 那这个有没有办法能不然访问这个js呢？或者访问了不打印出来？访问那边是属于日志吗？扫描的安全团队不管这个

JimMoen · 2023 年10 月 10 日 03:17

这属于误报，不是漏洞/缺陷
不打开相关的 dashboard 配置及编辑页面，不会访问到相关 js 页面
属于 Dashboard 功能的一部分，不是日志，也不能访问后不“打印”
几种解决方式
- 添加文件到扫描白名单
- 关闭 dashboard 功能，但会导致 API 管理接口不可用
- Fork 并修改 Dashboard 源码，删除相关关键字后重新打包。GitHub - emqx/emqx-dashboard5: The management console used to monitor and manage EMQX clusters.

597797776 · 2023 年10 月 11 日 09:09

@JimMoen 这个js能否可以不要放出来呢？

JimMoen · 2023 年10 月 12 日 02:13

无法解决，只能修改前端文件重新打包

597797776 · 2023 年11 月 15 日 17:41

@JimMoen 你好，咨询下，这个问题你们有解决吗？重新打包？是哪里进行重新打包呢？

wivwiv · 2023 年11 月 16 日 02:05

这个 Github 项目里