美國東北大學研究人員在對超過 133000 個網站分析時發現,有超過 37% 的站點仍在使用至少包含一個已知公開漏洞的 javascript 庫。研究人員早在 2014年進行研究時就曾提醒,應當注意由于在浏覽器中加載老舊版本的 javascript 庫(如 jquery、angularjs 架構)而導緻的潛在安全風險。
正如他們在一篇新發表的論文中所強調的,在某些條件下,這些脆弱的庫會變得極其危險,比如指向一個老舊的 jquery 跨站腳本 bug ,這将允許攻擊者借機注入惡意腳本。
他們檢視了來自 amazon 的 alexa 排名前 75000 的站點和 75000個 随機抽選的 .com 站點,評估了72個庫及各自不同的版本。
研究發現,36.7% 的 jquery、40.1% 的 angular、86.6% 的 handlebars、以及 87.3% 的 yui 存有漏洞隐患;此外還有 9.7% 的站點包含 2 個(及 2 個以上的)漏洞庫版本。熱門站點在這方面做得相對更好,很少用不安全的庫,alexa top 100 的站點中隻有 21% 中招。
不過,研究人員對 javascript 生态系統的安全狀态的整體評價仍然是:混亂!
研究人員寫道:“本次調查可能最清晰的結果是發現了 javascript 庫複雜、無組織的生态系統,在安全方面相當“臨時”的實際證據。沒有可靠的漏洞資料庫,沒有供應商維護的安全郵件清單,發行說明中很少或根本就沒有關于安全問題的細節,通常很難确定是哪些版本的庫受到指定報告的漏洞的影響。”
而且,由于很多庫已經過時了,補救起來絕不容易。隻有少量站點( alexa 中的 2.8%、.com 中的 1.6% )可以通過免費更新檔進行更新修複,因為大版本的躍遷可能會無法向後相容。
![主流浏覽器四大綜合性能測試[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)