已知漏洞隱患：數(shù)十萬網(wǎng)站仍在使用老舊的 JavaScript 庫

美國東北大學研究人員在對超過 13.3 萬個網(wǎng)站進行分析后發(fā)現(xiàn)，竟然有超過 37% 的站點仍在使用至少包含一個已知公開漏洞的 JavaScript 庫。研究人員早在 2014 年就意識到了這點 —— 加載過時的 JavaScript 庫，存在被黑客利用的潛在安全隱患（比如 jQuery 和瀏覽器 AngularJS 框架）。他們在一篇新報告中指出，在適當?shù)臈l件下，這些漏洞會變得極其危險，比如指向一個老舊的 jQuery 跨站腳本 bug（攻擊者可借此向受害站點注入惡意腳本）。

研究人員們隨機查看了 Alexa 排名前 7.5 萬的站點（以及 7.5 萬個隨機 .com 域名），統(tǒng)計到了有 72 個不同的 JS 庫版本 —— 87% 的 Alexa 站點（以及 46.5% 的 .com 站點）使用了其中一個。

研究發(fā)現(xiàn)，36.7% 的 jQuery、40.1% 的 Angular、86.6% 的 Handlebars、以及 87.3% 的 YUI 存有漏洞隱患；此外還有 9.7% 的站點包含 2 個（及 2 個以上的）漏洞庫版本。

萬幸的是，熱門站點在這方面做得相對更好（用漏洞庫的比例低很多），Top 100 Alexa 站點中只有 21% 躺槍。

遺憾的是，只有少量站點（2.8% 的 Alexa、1.6% 的 .com）可以通過免費補丁進行更新修復，因為大版本的躍遷（比如從 1.2.3 到 1.2.4）可能會無法向后兼容。

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。