近日,美國高校安全研究團隊釋出了一份關于網絡上使用javascript程式庫的分析報告,報告中指出在所調查的13.3萬個網站中,有37%的網站存在使用含有漏洞的javascript程式庫的情況,而且至少使用了1個,同時這些程式庫多是很久都未更新的老版本。
37%網站存在javascript庫漏洞
javascript作為一種進階動态程式語言,是與html及css并重的網頁前端設計标準代碼,堪稱網際網路(www)的三大核心技術語言之一。而javascript程式庫(javascript library)則是為了友善開發javascript應用而事先寫好的子程式集合,目前全球存在約10萬種程式庫。
據悉,該調查報告以最常見的72種開放源碼的javascript程式庫為标準,包括jquery、jquery-ui、modernizr、bootstrap、yepnope、jquery-migrate及swfobject等,來考察目前網站在使用和維護這些javascript程式庫時的情況。
通過建立上述72種程式庫的各版本漏洞資料庫,研究人員掃描了大約13.3萬個網站,來偵測這些網站是否安裝了含有漏洞的程式庫及其相關版本。
結果令人驚訝的是,有37%的網站使用了1個含漏洞的javascript庫版本,而有10%的網站則使用了2個甚至以上的含漏洞javascript庫。
在alexa排行榜上的7.5萬個網站所使用的程式庫中,有87.3%的yui3、86.6%的handlebars、40.1%的angular、36.7%的jquery,以及33.7%的jq-ui都是有漏洞的版本。
是以,該安全研究團隊指出,由于隻測量了72個javascript庫,是以,37%的比例很可能還被低估了。
報告指出,盡管各種javascript程式庫不斷推出更新版,但仍有不少網站繼續使用那些包含漏洞的版本。是以,對于網站開發人員來說,當務之急應該采用更為系統化的管理機制,快速掌握網站中使用了哪些程式庫,并随時保持其更新狀态。
此外,研究人員也發現,絕大多數的程式庫都未建立專門的安全更新郵件論壇(mailing list),也多缺乏詳細的漏洞報告,還有許多修補程式無法相容之前的老程式庫版本,快速的生命周期也讓開發人員疲于更新等問題
本文轉自d1net(轉載)
![vue搭建過程及出現問題[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)