原标题:研究:3成7网站使用过时或有漏洞的JavaScript函式库
示意图,与新闻事件无关。
美国东北大学(Northeastern University)电脑暨资讯科学学院的研究人员近日公布了一项关乎网路上使用JavaScript函式库的分析报告,在所调查的13.3万个网站中,有37%的网站使用了至少1个含有漏洞的JavaScript函式库,这些过时的函式库有的还是好几年前的版本。
JavaScript函式库为高阶的动态程式语言,与HTML及CSS并列为全球资讯网(WWW)的三大核心技术。(JavaScript library)则是为了方便开发JavaScript应用而事先写好的子程式集合,全球已出现近10万种函式库。
该报告所测量的并非JavaScript函式库的安全状态,而是网站使用及维护这些函式库的情况,并以最常见的72种开放源码的JavaScript函式库为基準,包括jQuery、jQuery-UI、Modernizr、Bootstrap、Yepnope、jQuery-Migrate及SWFObject等。
研究人员建立了72种函式库之各种版本的漏洞资料库,然后扫描Alexa排行榜上前7.5万个网站以及随机选取的另外7.5万个.com网站,以侦测这13.3万个网站是否安装这些函式库及其版本。
结果发现有37%的网站使用1个含有漏洞的JavaScript函式库版本,有10%的网站使用2个以上含有漏洞的JavaScript函式库版本。而在Alexa排行榜上的7.5万个网站所使用的函式库中,有87.3%的YUI3、86.6%的Handlebars、40.1%的Angular、36.7%的jQuery,以及33.7%的jQ-UI都是有漏洞的版本。
其实37%这个比例还可能被低估了,因为研究人员只测量了72个JavaScript函式库。
报告指出,儘管各种JavaScript函式库已有更新版,但仍有不少网站继续使用含有漏洞的版本,对于网站开发人员而言,他们必须先知道网站使用了哪些函式库,採用更系统化的管理,而非直接手动把函式库档案或CDN连结複製到代码库中。
此外,研究人员也发现,绝大多数的函式库都未建立专用的安全更新邮件论坛(mailing list),也多缺乏详细的漏洞报告,还有许多修补程式无法相容于更旧的函式库版本,快速的生命周期也让开发人员疲于更新。
相关:
维基解密创办人:将和苹果、Google等厂商合作修补CIA锁定的漏洞
维基解密创办人Julian Assange 图片来源: Wikileaks 本周维基解密(Wikileaks)爆料CIA系统性建立骇客工具,入侵知名科技公司包括苹果、三星及Google的产品,周四维基解密创办人Julian Assange透过线上记者会表示将
维基解密将和苹果、Google等厂商合作修补CIA锁定的漏洞
维基解密创办人Julian Assange 图片来源: Wikileaks 本周维基解密(Wikileaks)爆料CIA系统性建立骇客工具,入侵知名科技公司包括苹果、三星及Google的产品,周四维基解密创办人Julian Assange透过线上记者会表示将
主打短期租屋服务网站Airbnb 传企图取代长期租屋平台Craiglist
记者/李宛蓉 短期租屋网站平台Airbnb,以提供房东和旅行者短期租屋服务为特色在全球打下知名度。根据《彭博社》于3月8日报道,Airbnb未来将进入长期租屋市场,且目前已委托麦肯锡公司(McKinsey & Company)制作市场
研究人员:大华DVR与IP摄影机可被轻易攻陷,迫使大华紧急释出更新
示意图,与新闻事件无关。 图片来源: 大华 中国製造商大华(Dahua)在本周修补了旗下11款数位录放影机(DVR)及IP摄影机的安全漏洞。发现相关漏洞的安全研究人员Bashis宣称只要几秒钟就能透过相关漏洞登入这些装置
京东发布最新女性消费报告 服饰美妆类仅占两成
3月7日,DT电商联合京东数据研究院共同推出《38关注“她”经济,大数据解读女性消费报告》。根据显示,女性的网购金额中,有近四成是家居、家电、生