报告显示37%网站存在JavaScript库漏洞
近日,美国高校安全研究团队发布了一份关于网络上使用JavaScript程序库的分析报告,报告中指出在所调查的13.3万个网站中,有37%的网站存在使用含有漏洞的JavaScript程序库的情况,而且至少使用了1个,同时这些程序库多是很久都未更新的老版本。
37%网站存在JavaScript库漏洞
JavaScript作为一种高级动态程序语言,是与HTML及CSS并重的网页前端设计标准代码,堪称万维网(WWW)的三大核心技术语言之一。而JavaScript程序库(JavaScript library)则是为了方便开发JavaScript应用而事先写好的子程序集合,目前全球存在约10万种程序库。
据悉,该调查报告以最常见的72种开放源码的JavaScript程序库为标准,包括jQuery、jQuery-UI、Modernizr、Bootstrap、Yepnope、jQuery-Migrate及SWFObject等,来考察当前网站在使用和维护这些JavaScript程序库时的情况。
通过建立上述72种程序库的各版本漏洞数据库,研究人员扫描了大约13.3万个网站,来侦测这些网站是否安装了含有漏洞的程序库及其相关版本。
结果令人惊讶的是,有37%的网站使用了1个含漏洞的JavaScript库版本,而有10%的网站则使用了2个甚至以上的含漏洞JavaScript库。
在Alexa排行榜上的7.5万个网站所使用的程序库中,有87.3%的YUI3、86.6%的Handlebars、40.1%的Angular、36.7%的jQuery,以及33.7%的jQ-UI都是有漏洞的版本。
因此,该安全研究团队指出,由于只测量了72个JavaScript库,因此,37%的比例很可能还被低估了。
报告指出,尽管各种JavaScript程序库不断推出更新版,但仍有不少网站继续使用那些包含漏洞的版本。因此,对于网站开发人员来说,当务之急应该采用更为系统化的管理机制,快速掌握网站中使用了哪些程序库,并随时保持其更新状态。
此外,研究人员也发现,绝大多数的程序库都未建立专门的安全更新邮件论坛(mailing list),也多缺乏详细的漏洞报告,还有许多修补程序无法兼容之前的老程序库版本,快速的生命周期也让开发人员疲于更新等问题
本文转自d1net(转载)
报告显示37%网站存在JavaScript库漏洞相关推荐
- javascript漏洞-检测到目标站点存在javascript框架库漏洞
一般是让升级为最新的版本的脚本文件,但是实际使用过程中,有的插件不兼容,盲目升级会导致网站部分插件不可用. 下面是一种解决方案. 比如漏洞扫描出jquery:2.1.4.作以下处理: 一.根据web应 ...
- 报告显示,媒体行业已成撞库攻击常见目标
一项报告显示,在2018年1月到2019年12月间,全球媒体行业共遭受了170亿次撞库攻击. 这份名为<Akamai 2020年互联网状况/媒体行业中的撞库攻击>的报告还发现,在报告期间内 ...
- js页面检测到目标站点存在javascript框架库漏洞
一.概述 在系统验收前安全检查时,绿盟检查到系统存在页面检测到目标站点存在javascript框架库漏洞,如下所示: 二.分析处理 这个漏洞是绿盟扫描比较常见的一个漏洞,原因就是jquery版本过低. ...
- Web充斥着存在漏洞的过期JavaScript库
虽然使用第三方软件库通常会降低开发的时间,但同时也会增加网站暴露出的攻击表面,对此我们应有充分的认识.因此需要保持第三方软件库的最新版本依赖,以便从安全更新中获益.即便如此,一份近期研究表明,在Ale ...
- Javascript框架库漏洞验证
Javascript框架库漏洞
- CornerStone —— 医学影像显示的JavaScript库简介
本文是由Markdown语法编辑器编辑完成. 1. CornerStone CornerSone is a JavaScript library to display interactive medi ...
- 25个恶意JavaScript 库通过NPM官方包仓库分发
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的安全 ...
- 「首席架构师推荐」一系列很棒的的浏览器端JavaScript库资源
包管理器 托管JavaScript库并提供用于获取和打包它们的工具. npm - npm是JavaScript的包管理器. Bower - 网络包管理器. component - 用于构建更好的Web ...
- 42个面向前端开发人员的很棒JavaScript 库和框架
英文 | https://javascript.plainenglish.io/42-good-javascript-libraries-and-frameworks-for-front-end-de ...
最新文章
- Bioinformatics| 生物医学网络中的图嵌入方法
- 数据蒋堂 | 报表工具的SQL植入风险
- Leetcode | Maximal Rectangle
- Java8 ThreadLocal 源码分析
- 【Leetcode | 顺序刷题】杂项目录
- promise用法_Promise的秘密
- 下面哪个字段是http请求中必须具备的_HTTP 协议报文结构及示例
- 同步异步 阻塞 非阻塞 异步调用 线程队列 协程
- 语义分割论文阅读:FCN、PSPNet、DDRNet、BiseNet、BiseNetV2、deeplabv3
- jsp ejb mysql_关于UTF-8 JBoss,JSP,EJB,MySQL,STRUTS的中文处理方案
- Typora修改空格样式(blockquote)
- Tomcat崩溃排查
- 优酷播放黑科技 | 基于WebRTC实现的直播“云多视角“技术解析
- LMS算法实现系统识别
- 加拿大各省接受公立教育的初始年龄汇总 — 供携子女赴加的访学、博后参考
- 性能提升利器之固态硬盘和序列化漫谈
- 计算机word保存如何操作,怎么开启电脑word中的自动保存功能
- Word/WPS 利用邮件合并批量生成文档
- Linux小知识:查看当前最耗费CPU的线程(Arthas工具)
- 国开本科计算机应用基础操作题,新版国家开放大学中央电大本科计算机应用基础操作题题库...
热门文章
- java常问的报错_java常见报错及解决
- bottleneck resnet网络_深度学习|图像分类:ResNet(二)
- mac android sdk manager速度慢,android - SDK Manager无法在Mac上打开 - 堆栈内存溢出
- c++ array容器 传参_C++ 顺序容器基础知识总结
- 微型计算机中普片编码,【单选题】微型计算机中普遍使用的字符编码是A. ASCII码B. BCD 码C. 拼音码D. 补码...
- go post请求的响应数据渲染到html模板_干货你需要了解的六种渲染模式
- n阶方程求逆c语言,n阶方阵求逆
- Ubuntu 添加用户
- 双卡项目如何在状态栏显示或隐藏G,3G以及卡1和卡2的信号标识
- Spark基础学习笔记14:Scala数据结构