机房360首页
当前位置:首页 » 安全资讯 » 报告显示37%网站存在JavaScript库漏洞

报告显示37%网站存在JavaScript库漏洞

来源:机房360 作者:DJ编辑 更新时间:2017-3-13 10:35:14

摘要:近日,美国高校安全研究团队发布了一份关于网络上使用JavaScript程序库的分析报告,报告中指出在所调查的13.3万个网站中,有37%的网站存在使用含有漏洞的JavaScript程序库的情况,而且至少使用了1个,同时这些程序库多是很久都未更新的老版本。

  近日,美国高校安全研究团队发布了一份关于网络上使用JavaScript程序库的分析报告,报告中指出在所调查的13.3万个网站中,有37%的网站存在使用含有漏洞的JavaScript程序库的情况,而且至少使用了1个,同时这些程序库多是很久都未更新的老版本。

  37%网站存在JavaScript库漏洞

  JavaScript作为一种高级动态程序语言,是与HTML及CSS并重的网页前端设计标准代码,堪称万维网(WWW)的三大核心技术语言之一。而JavaScript程序库(JavaScript library)则是为了方便开发JavaScript应用而事先写好的子程序集合,目前全球存在约10万种程序库。

  据悉,该调查报告以最常见的72种开放源码的JavaScript程序库为标准,包括jQuery、jQuery-UI、Modernizr、Bootstrap、Yepnope、jQuery-Migrate及SWFObject等,来考察当前网站在使用和维护这些JavaScript程序库时的情况。

  通过建立上述72种程序库的各版本漏洞数据库,研究人员扫描了大约13.3万个网站,来侦测这些网站是否安装了含有漏洞的程序库及其相关版本。

  结果令人惊讶的是,有37%的网站使用了1个含漏洞的JavaScript库版本,而有10%的网站则使用了2个甚至以上的含漏洞JavaScript库。

  在Alexa排行榜上的7.5万个网站所使用的程序库中,有87.3%的YUI3、86.6%的Handlebars、40.1%的Angular、36.7%的jQuery,以及33.7%的jQ-UI都是有漏洞的版本。

  因此,该安全研究团队指出,由于只测量了72个JavaScript库,因此,37%的比例很可能还被低估了。

  报告指出,尽管各种JavaScript程序库不断推出更新版,但仍有不少网站继续使用那些包含漏洞的版本。因此,对于网站开发人员来说,当务之急应该采用更为系统化的管理机制,快速掌握网站中使用了哪些程序库,并随时保持其更新状态。

  此外,研究人员也发现,绝大多数的程序库都未建立专门的安全更新邮件论坛(mailing list),也多缺乏详细的漏洞报告,还有许多修补程序无法兼容之前的老程序库版本,快速的生命周期也让开发人员疲于更新等问题。

  责任编辑:DJ编辑

机房360微信公众号订阅
扫一扫,订阅更多数据中心资讯

本文地址:http://www.jifang360.com/news/2017313/n710394326.html 网友评论: 阅读次数:
版权声明:凡本站原创文章,未经授权,禁止转载,否则追究法律责任。
相关评论
正在加载评论列表...
评论表单加载中...
  • 我要分享
推荐图片