美國東北大學研究人員在對超過 13.3 萬個網站進行分析後發現,竟然有超過 37% 的站點仍在使用至少包含一個已知公開漏洞的 javascript 庫。研究人員早在 2014 年就意識到了這點 —— 加載過時的 javascript 庫,存在被黑客利用的潛在安全隐患(比如 jquery 和浏覽器 angularjs 架構)。他們在一篇新報告中指出,在适當的條件下,這些漏洞會變得極其危險,比如指向一個老舊的 jquery 跨站腳本 bug(攻擊者可借此向受害站點注入惡意腳本)。
研究人員們随機檢視了 alexa 排名前 7.5 萬的站點(以及 7.5 萬個随機 .com 域名),統計到了有 72 個不同的 js 庫版本 —— 87% 的 alexa 站點(以及 46.5% 的 .com 站點)使用了其中一個。
研究發現,36.7% 的 jquery、40.1% 的 angular、86.6% 的 handlebars、以及 87.3% 的 yui 存有漏洞隐患;此外還有 9.7% 的站點包含 2 個(及 2 個以上的)漏洞庫版本。
萬幸的是,熱門站點在這方面做得相對更好(用漏洞庫的比例低很多),top 100 alexa 站點中隻有 21% 躺槍。
遺憾的是,隻有少量站點(2.8% 的 alexa、1.6% 的 .com)可以通過免費更新檔進行更新修複,因為大版本的躍遷(比如從 1.2.3 到 1.2.4)可能會無法向後相容。
本文轉自d1net(轉載)
![主流浏覽器四大綜合性能測試[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)