0

我在一个 android 移动应用程序中使用各种 3rd 方库,如 cordova.js、jquery、jquery mobile、mobilizer 等。通过不安全地使用 eval、settimeout、inner/outerhtml,这些库被发现具有各种 XSS 向量等等。但是,存在这些问题的模块不会在应用程序中使用/调用。

考虑到上述情况,即使在我的应用程序中没有使用易受攻击的模块,攻击者是否可以根据第 3 方库中的 XSS 向量来利用我的应用程序?

这个问题参考了我之前的问题:“如何保护应用程序免受第 3 方 js 库中存在的 XSS 向量的影响?”

4

1 回答 1

0

如果 XSS 漏洞利用的代码不在您的应用程序中,那么您的应用程序不会受到这些漏洞的影响。但是,可能还潜伏着其他漏洞。

编辑:当心这种差异:未使用/未调用!=不存在。如果代码存在,那么攻击者可以使用它。如果您不需要易受攻击的代码,一个理想的举措是从应用程序中删除这些模块。

于 2013-03-12T07:06:10.233 回答