近日,美国高校安全研究团队发布了一份关于网络上使用javascript程序库的分析报告,报告中指出在所调查的13.3万个网站中,有37%的网站存在使用含有漏洞的javascript程序库的情况,而且至少使用了1个,同时这些程序库多是很久都未更新的老版本。
37%网站存在javascript库漏洞
javascript作为一种高级动态程序语言,是与html及css并重的网页前端设计标准代码,堪称万维网(www)的三大核心技术语言之一。而javascript程序库(javascript library)则是为了方便开发javascript应用而事先写好的子程序集合,目前全球存在约10万种程序库。
据悉,该调查报告以最常见的72种开放源码的javascript程序库为标准,包括jquery、jquery-ui、modernizr、bootstrap、yepnope、jquery-migrate及swfobject等,来考察当前网站在使用和维护这些javascript程序库时的情况。
通过建立上述72种程序库的各版本漏洞数据库,研究人员扫描了大约13.3万个网站,来侦测这些网站是否安装了含有漏洞的程序库及其相关版本。
结果令人惊讶的是,有37%的网站使用了1个含漏洞的javascript库版本,而有10%的网站则使用了2个甚至以上的含漏洞javascript库。
在alexa排行榜上的7.5万个网站所使用的程序库中,有87.3%的yui3、86.6%的handlebars、40.1%的angular、36.7%的jquery,以及33.7%的jq-ui都是有漏洞的版本。
因此,该安全研究团队指出,由于只测量了72个javascript库,因此,37%的比例很可能还被低估了。
报告指出,尽管各种javascript程序库不断推出更新版,但仍有不少网站继续使用那些包含漏洞的版本。因此,对于网站开发人员来说,当务之急应该采用更为系统化的管理机制,快速掌握网站中使用了哪些程序库,并随时保持其更新状态。
此外,研究人员也发现,绝大多数的程序库都未建立专门的安全更新邮件论坛(mailing list),也多缺乏详细的漏洞报告,还有许多修补程序无法兼容之前的老程序库版本,快速的生命周期也让开发人员疲于更新等问题
本文转自d1net(转载)
![vue搭建过程及出现问题[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)