近日,美国高校安全研究团队发布了一份关于网络上使用JavaScript程序库的分析报告,报告中指出在所调查的13.3万个网站中,有37%的网站存在使用含有漏洞的JavaScript程序库的情况,而且至少使用了1个,同时这些程序库多是很久都未更新的老版本。

  37%网站存在JavaScript库漏洞

JavaScript作为一种高级动态程序语言,是与HTML及CSS并重的网页前端设计标准代码,堪称万维网(WWW)的三大核心技术语言之一。而JavaScript程序库(JavaScript library)则是为了方便开发JavaScript应用而事先写好的子程序集合,目前全球存在约10万种程序库。

据悉,该调查报告以最常见的72种开放源码的JavaScript程序库为标准,包括jQuery、jQuery-UI、Modernizr、Bootstrap、Yepnope、jQuery-Migrate及SWFObject等,来考察当前网站在使用和维护这些JavaScript程序库时的情况。

通过建立上述72种程序库的各版本漏洞数据库,研究人员扫描了大约13.3万个网站,来侦测这些网站是否安装了含有漏洞的程序库及其相关版本。

结果令人惊讶的是,有37%的网站使用了1个含漏洞的JavaScript库版本,而有10%的网站则使用了2个甚至以上的含漏洞JavaScript库。

在Alexa排行榜上的7.5万个网站所使用的程序库中,有87.3%的YUI3、86.6%的Handlebars、40.1%的Angular、36.7%的jQuery,以及33.7%的jQ-UI都是有漏洞的版本。

因此,该安全研究团队指出,由于只测量了72个JavaScript库,因此,37%的比例很可能还被低估了。

报告指出,尽管各种JavaScript程序库不断推出更新版,但仍有不少网站继续使用那些包含漏洞的版本。因此,对于网站开发人员来说,当务之急应该采用更为系统化的管理机制,快速掌握网站中使用了哪些程序库,并随时保持其更新状态。

此外,研究人员也发现,绝大多数的程序库都未建立专门的安全更新邮件论坛(mailing list),也多缺乏详细的漏洞报告,还有许多修补程序无法兼容之前的老程序库版本,快速的生命周期也让开发人员疲于更新等问题

本文转自d1net(转载)

报告显示37%网站存在JavaScript库漏洞相关推荐

  1. javascript漏洞-检测到目标站点存在javascript框架库漏洞

    一般是让升级为最新的版本的脚本文件,但是实际使用过程中,有的插件不兼容,盲目升级会导致网站部分插件不可用. 下面是一种解决方案. 比如漏洞扫描出jquery:2.1.4.作以下处理: 一.根据web应 ...

  2. 报告显示,媒体行业已成撞库攻击常见目标

    一项报告显示,在2018年1月到2019年12月间,全球媒体行业共遭受了170亿次撞库攻击. 这份名为<Akamai 2020年互联网状况/媒体行业中的撞库攻击>的报告还发现,在报告期间内 ...

  3. js页面检测到目标站点存在javascript框架库漏洞

    一.概述 在系统验收前安全检查时,绿盟检查到系统存在页面检测到目标站点存在javascript框架库漏洞,如下所示: 二.分析处理 这个漏洞是绿盟扫描比较常见的一个漏洞,原因就是jquery版本过低. ...

  4. Web充斥着存在漏洞的过期JavaScript库

    虽然使用第三方软件库通常会降低开发的时间,但同时也会增加网站暴露出的攻击表面,对此我们应有充分的认识.因此需要保持第三方软件库的最新版本依赖,以便从安全更新中获益.即便如此,一份近期研究表明,在Ale ...

  5. Javascript框架库漏洞验证

    Javascript框架库漏洞

  6. CornerStone —— 医学影像显示的JavaScript库简介

    本文是由Markdown语法编辑器编辑完成. 1. CornerStone CornerSone is a JavaScript library to display interactive medi ...

  7. 25个恶意JavaScript 库通过NPM官方包仓库分发

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的安全 ...

  8. 「首席架构师推荐」一系列很棒的的浏览器端JavaScript库资源

    包管理器 托管JavaScript库并提供用于获取和打包它们的工具. npm - npm是JavaScript的包管理器. Bower - 网络包管理器. component - 用于构建更好的Web ...

  9. 42个面向前端开发人员的很棒JavaScript 库和框架

    英文 | https://javascript.plainenglish.io/42-good-javascript-libraries-and-frameworks-for-front-end-de ...

最新文章

  1. Bioinformatics| 生物医学网络中的图嵌入方法
  2. 数据蒋堂 | 报表工具的SQL植入风险
  3. Leetcode | Maximal Rectangle
  4. Java8 ThreadLocal 源码分析
  5. 【Leetcode | 顺序刷题】杂项目录
  6. promise用法_Promise的秘密
  7. 下面哪个字段是http请求中必须具备的_HTTP 协议报文结构及示例
  8. 同步异步 阻塞 非阻塞 异步调用 线程队列 协程
  9. 语义分割论文阅读:FCN、PSPNet、DDRNet、BiseNet、BiseNetV2、deeplabv3
  10. jsp ejb mysql_关于UTF-8 JBoss,JSP,EJB,MySQL,STRUTS的中文处理方案
  11. Typora修改空格样式(blockquote)
  12. Tomcat崩溃排查
  13. 优酷播放黑科技 | 基于WebRTC实现的直播“云多视角“技术解析
  14. LMS算法实现系统识别
  15. 加拿大各省接受公立教育的初始年龄汇总 — 供携子女赴加的访学、博后参考
  16. 性能提升利器之固态硬盘和序列化漫谈
  17. 计算机word保存如何操作,怎么开启电脑word中的自动保存功能
  18. Word/WPS 利用邮件合并批量生成文档
  19. Linux小知识:查看当前最耗费CPU的线程(Arthas工具)
  20. 国开本科计算机应用基础操作题,新版国家开放大学中央电大本科计算机应用基础操作题题库...

热门文章

  1. java常问的报错_java常见报错及解决
  2. bottleneck resnet网络_深度学习|图像分类:ResNet(二)
  3. mac android sdk manager速度慢,android - SDK Manager无法在Mac上打开 - 堆栈内存溢出
  4. c++ array容器 传参_C++ 顺序容器基础知识总结
  5. 微型计算机中普片编码,【单选题】微型计算机中普遍使用的字符编码是A. ASCII码B. BCD 码C. 拼音码D. 补码...
  6. go post请求的响应数据渲染到html模板_干货你需要了解的六种渲染模式
  7. n阶方程求逆c语言,n阶方阵求逆
  8. Ubuntu 添加用户
  9. 双卡项目如何在状态栏显示或隐藏G,3G以及卡1和卡2的信号标识
  10. Spark基础学习笔记14:Scala数据结构