我在端口 9043 上运行的 Linux 服务器上使用独立的最新 Jenkins 战争。
安全审计团队报告了以下 Jenkins URL 的“跨站点脚本 (XSS)”漏洞。
https://myjenkinshost:9043/label/64_Salve/api/python
“64_Salve”恰好是我几年前配置的 Jenkins 从节点代理。
作为概念证明,他们分享了以下内容:
使用代理工具拦截请求并修改请求,如图所示。在浏览器中查看响应时,将下载文件,如图所示。
然后有一个弹出窗口提示打开保存的“python”文件。
您能否建议我如何解决此漏洞?