我正在运行在端口9043上的Linux服务器上使用最新的独立Jenkins战争。
安全审核小组报告了以下Jenkins URL的“跨站点脚本(XSS)”漏洞。
https://myjenkinshost:9043/label/64_Salve/api/python
“ 64_Salve”恰好是我几年前配置的Jenkins从属节点代理。
作为概念证明,他们分享了以下内容:
使用代理工具拦截请求,然后如图所示修改请求。在浏览器中查看响应后,将如图所示下载文件。
然后会有一个弹出窗口,提示您打开保存的“ python”文件。
您能建议我如何解决此漏洞吗?