Google 微软 Apple 无人驾驶 Java 人工智能 大数据 阿里巴巴 特斯拉 Facebook VR/AR 安全 手机 亚马逊 机器人 云计算
报告显示37%网站存在JavaScript库漏洞

报告显示37%网站存在JavaScript库漏洞

近日,美国高校安全研究团队发布了一份关于网络上使用JavaScript程序库的分析报告,报告中指出在所调查的13.3万个网站中,有37%的网站存在使用含有漏洞的JavaScript程序库的情况,而且至少使用了1个,同时这些程序库多是很久都未更新的老版本。


报告显示37%网站存在JavaScript库漏洞
37%网站存在JavaScript库漏洞

JavaScript作为一种高级动态程序语言,是与HTML及CSS并重的网页前端设计标准代码,堪称万维网(WWW)的三大核心技术语言之一。而JavaScript程序库(JavaScript library)则是为了方便开发JavaScript应用而事先写好的子程序集合,目前全球存在约10万种程序库。

据悉,该调查报告以最常见的72种开放源码的JavaScript程序库为标准,包括jQuery、jQuery-UI、Modernizr、Bootstrap、Yepnope、jQuery-Migrate及SWFObject等,来考察当前网站在使用和维护这些JavaScript程序库时的情况。

通过建立上述72种程序库的各版本漏洞数据库,研究人员扫描了大约13.3万个网站,来侦测这些网站是否安装了含有漏洞的程序库及其相关版本。

结果令人惊讶的是,有37%的网站使用了1个含漏洞的JavaScript库版本,而有10%的网站则使用了2个甚至以上的含漏洞JavaScript库。

在Alexa排行榜上的7.5万个网站所使用的程序库中,有87.3%的YUI3、86.6%的Handlebars、40.1%的Angular、36.7%的jQuery,以及33.7%的jQ-UI都是有漏洞的版本。

因此,该安全研究团队指出,由于只测量了72个JavaScript库,因此,37%的比例很可能还被低估了。

报告指出,尽管各种JavaScript程序库不断推出更新版,但仍有不少网站继续使用那些包含漏洞的版本。因此,对于网站开发人员来说,当务之急应该采用更为系统化的管理机制,快速掌握网站中使用了哪些程序库,并随时保持其更新状态。

此外,研究人员也发现,绝大多数的程序库都未建立专门的安全更新邮件论坛(mailing list),也多缺乏详细的漏洞报告,还有许多修补程序无法兼容之前的老程序库版本,快速的生命周期也让开发人员疲于更新等问题。

你的站点存在这样的漏洞吗,请赶紧查下吧!

点赞 0 打赏

我要评论