美國東北大學(xué)研究人員在對超過 13.3 萬個網(wǎng)站進行分析后發(fā)現(xiàn),竟然有超過 37% 的站點仍在使用至少包含一個已知公開漏洞的 JavaScript 庫。研究人員早在 2014 年就意識到了這點 —— 加載過時的 JavaScript 庫,存在被黑客利用的潛在安全隱患(比如 jQuery 和瀏覽器 AngularJS 框架)。他們在一篇新報告中指出,在適當(dāng)?shù)臈l件下,這些漏洞會變得極其危險,比如指向一個老舊的 jQuery 跨站腳本 bug(攻擊者可借此向受害站點注入惡意腳本)。
研究人員們隨機查看了 Alexa 排名前 7.5 萬的站點(以及 7.5 萬個隨機 .com 域名),統(tǒng)計到了有 72 個不同的 JS 庫版本 —— 87% 的 Alexa 站點(以及 46.5% 的 .com 站點)使用了其中一個。
研究發(fā)現(xiàn),36.7% 的 jQuery、40.1% 的 Angular、86.6% 的 Handlebars、以及 87.3% 的 YUI 存有漏洞隱患;此外還有 9.7% 的站點包含 2 個(及 2 個以上的)漏洞庫版本。
萬幸的是,熱門站點在這方面做得相對更好(用漏洞庫的比例低很多),Top 100 Alexa 站點中只有 21% 躺槍。
遺憾的是,只有少量站點(2.8% 的 Alexa、1.6% 的 .com)可以通過免費補丁進行更新修復(fù),因為大版本的躍遷(比如從 1.2.3 到 1.2.4)可能會無法向后兼容。
京公網(wǎng)安備 11010502049343號