• 移动端
    访问手机端
    官微
    访问官微

    搜索
    取消
    温馨提示:
    敬爱的用户,您的浏览器版本过低,会导致页面浏览异常,建议您升级浏览器版本或更换其他浏览器打开。

    报告显示37%网站存在JavaScript库漏洞

    来源:中关村在线 2017-03-13 11:07:40 JavaScript 漏洞 金融安全
         来源:中关村在线     2017-03-13 11:07:40

    核心提示

      近日,美国高校安全研究团队发布了一份关于网络上使用JavaScript程序库的分析报告,报告中指出在所调查的13.3万个网站中,有37%的网站存在使用含有漏洞的JavaScript程序库的情况,而且至少使用了1个,同时这些程序库多是很久都未更新的老版本。

    报告显示37%网站存在JavaScript库漏洞

      JavaScript作为一种高级动态程序语言,是与HTML及CSS并重的网页前端设计标准代码,堪称万维网(WWW)的三大核心技术语言之一。而JavaScript程序库(JavaScript library)则是为了方便开发JavaScript应用而事先写好的子程序集合,目前全球存在约10万种程序库。

      据悉,该调查报告以最常见的72种开放源码的JavaScript程序库为标准,包括jQuery、jQuery-UI、Modernizr、Bootstrap、Yepnope、jQuery-Migrate及SWFObject等,来考察当前网站在使用和维护这些JavaScript程序库时的情况。

      通过建立上述72种程序库的各版本漏洞数据库,研究人员扫描了大约13.3万个网站,来侦测这些网站是否安装了含有漏洞的程序库及其相关版本。

      结果令人惊讶的是,有37%的网站使用了1个含漏洞的JavaScript库版本,而有10%的网站则使用了2个甚至以上的含漏洞JavaScript库。

      在Alexa排行榜上的7.5万个网站所使用的程序库中,有87.3%的YUI3、86.6%的Handlebars、40.1%的Angular、36.7%的jQuery,以及33.7%的jQ-UI都是有漏洞的版本。

      因此,该安全研究团队指出,由于只测量了72个JavaScript库,因此,37%的比例很可能还被低估了。

      报告指出,尽管各种JavaScript程序库不断推出更新版,但仍有不少网站继续使用那些包含漏洞的版本。因此,对于网站开发人员来说,当务之急应该采用更为系统化的管理机制,快速掌握网站中使用了哪些程序库,并随时保持其更新状态。

      此外,研究人员也发现,绝大多数的程序库都未建立专门的安全更新邮件论坛(mailing list),也多缺乏详细的漏洞报告,还有许多修补程序无法兼容之前的老程序库版本,快速的生命周期也让开发人员疲于更新等问题。

    责任编辑:韩希宇

    免责声明:

    中国电子银行网发布的专栏、投稿以及征文相关文章,其文字、图片、视频均来源于作者投稿或转载自相关作品方;如涉及未经许可使用作品的问题,请您优先联系我们(联系邮箱:cebnet@cfca.com.cn,电话:400-880-9888),我们会第一时间核实,谢谢配合。

    为你推荐

    猜你喜欢

    收藏成功

    确定