第三方软件测评:第三方组件（如 jQuery、Bootstrap）的 WEB安全测试方法

第三方软件测评:第三方组件（如 jQuery、Bootstrap）的 WEB安全测试方法：

已知漏洞扫描
版本识别：通过文件元数据（jquery.js头注释）、HTTP响应头（X-Generator: Bootstrap）、代码特征（$.fn.jquery属性）确定组件精确版本；
CVE匹配：使用NVD数据库、Snyk漏洞库进行匹配，覆盖如CVE-2020-11022（jQuery XSS）、CVE-2019-8331（Bootstrap XSS）等高危漏洞；
依赖链检测：检查嵌套依赖风险（如Bootstrap依赖jQuery时的版本兼容性问题）。

组件滥用情况的检测
jQuery DOM型XSS测试：验证$()函数输入净化机制（如$('<script>alert(1)</script>')是否执行）
Bootstrap数据属性注入：测试data-toggle="modal" data-target="javascript:alert(1)" payload
过时版本检测：识别EOL版本（如jQuery 1.x/2.x系列已停止安全更新）

安全配置审计

内容安全策略（CSP）
检测unsafe-inline指令使用情况（应禁止内联脚本执行）
验证第三方CDN白名单配置（如https://cdn.jsdelivr.net需严格哈希校验）
检查Bootstrap的data-bs-*属性与CSP兼容性

子资源完整性（SRI）
验证<script>标签完整性校验存在性
检测哈希值匹配情况（官方CDN提供的哈希值与实际使用值比对）
缺失SRI的风险评估（供应链攻击成功概率≥65%）