美國東北大學研究人員在對超過 13.3 萬個網站進行分析后發(fā)現,竟然有超過 37% 的站點仍在使用至少包含一個已知公開漏洞的 JavaScript 庫。研究人員早在 2014 年就意識到了這點 —— 加載過時的 JavaScript 庫,存在被黑客利用的潛在安全隱患(比如 jQuery 和瀏覽器 AngularJS 框架)。他們在一篇新報告中指出,在適當的條件下,這些漏洞會變得極其危險,比如指向一個老舊的 jQuery 跨站腳本 bug(攻擊者可借此向受害站點注入惡意腳本)。
研究人員們隨機查看了 Alexa 排名前 7.5 萬的站點(以及 7.5 萬個隨機 .com 域名),統(tǒng)計到了有 72 個不同的 JS 庫版本 —— 87% 的 Alexa 站點(以及 46.5% 的 .com 站點)使用了其中一個。
研究發(fā)現,36.7% 的 jQuery、40.1% 的 Angular、86.6% 的 Handlebars、以及 87.3% 的 YUI 存有漏洞隱患;此外還有 9.7% 的站點包含 2 個(及 2 個以上的)漏洞庫版本。
萬幸的是,熱門站點在這方面做得相對更好(用漏洞庫的比例低很多),Top 100 Alexa 站點中只有 21% 躺槍。
遺憾的是,只有少量站點(2.8% 的 Alexa、1.6% 的 .com)可以通過免費補丁進行更新修復,因為大版本的躍遷(比如從 1.2.3 到 1.2.4)可能會無法向后兼容。
- 蜜度索驥:以跨模態(tài)檢索技術助力“企宣”向上生長
- 從量子威脅到人工智能防御:2025年網絡安全將如何發(fā)展
- 后人工智能時代:2025年,在紛擾中重塑數據、洞察和行動
- 2025年展望:人工智能推動IT整合
- 量子計算:商業(yè)世界的新前沿與設計思維的融合
- IDC:三季度全球以太網交換機收入同比下降7.9%、環(huán)比增長6.6%
- Fortinet李宏凱:2025年在中國大陸啟動SASE PoP節(jié)點部署 助力企業(yè)出海
- Fortinet李宏凱:2024年Fortinet全球客戶已超80萬
- 央國企采購管理升級,合合信息旗下啟信慧眼以科技破局難點
- Apache Struts重大漏洞被黑客利用,遠程代碼執(zhí)行風險加劇
- Crunchbase:2024年AI網絡安全行業(yè)風險投資超過26億美元
免責聲明:本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網站出現的信息,均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性,但不保證有關資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏,概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時,應及時向本網站提出書面權利通知或不實情況說明,并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后,將會依法盡快聯系相關文章源頭核實,溝通刪除相關內容或斷開相關鏈接。