数万网站仍在使用有已知漏洞的老旧 JavaScript 库

最新推荐文章于 2024-04-17 14:13:24 发布
最新推荐文章于 2024-04-17 14:13:24 发布
阅读量925 收藏
点赞数
文章标签: javascript ViewUI
原文链接:https://yq.aliyun.com/articles/111822
版权

美国东北大学研究人员在对超过 133000 个网站分析时发现,有超过 37% 的站点仍在使用至少包含一个已知公开漏洞的 JavaScript 库。研究人员早在 2014年进行研究时就曾提醒,应当注意由于在浏览器中加载老旧版本的 JavaScript 库(如 jQuery、AngularJS 框架)而导致的潜在安全风险。


b437e565e06e211cb2d0fb7e304f76f40f92ca82

正如他们在一篇新发表的论文中所强调的,在某些条件下,这些脆弱的库会变得极其危险,比如指向一个老旧的 jQuery 跨站脚本 bug ,这将允许攻击者借机注入恶意脚本。

他们查看了来自 Amazon 的 Alexa 排名前 75000 的站点和 75000个 随机抽选的 .com 站点,评估了72个库及各自不同的版本。

研究发现,36.7% 的 jQuery、40.1% 的 Angular、86.6% 的 Handlebars、以及 87.3% 的 YUI 存有漏洞隐患;此外还有 9.7% 的站点包含 2 个(及 2 个以上的)漏洞库版本。热门站点在这方面做得相对更好,很少用不安全的库,Alexa Top 100 的站点中只有 21% 中招。

不过,研究人员对 JavaScript 生态系统的安全状态的整体评价仍然是:混乱!

研究人员写道:“本次调查可能最清晰的结果是发现了 JavaScript 库复杂、无组织的生态系统,在安全方面相当“临时”的实际证据。没有可靠的漏洞数据库,没有供应商维护的安全邮件列表,发行说明中很少或根本就没有关于安全问题的细节,通常很难确定是哪些版本的库受到指定报告的漏洞的影响。”

而且,由于很多库已经过时了,补救起来绝不容易。只有少量站点( Alexa 中的 2.8%、.com 中的 1.6% )可以通过免费补丁进行更新修复,因为大版本的跃迁可能会无法向后兼容。

本文来自开源中国社区 [http://www.oschina.net]

weixin_33691700
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Vulnerable Javascript library漏洞记录
NLstudy33的博客
09-26 848
AWVS扫出来Vulnerable Javascript library漏洞,然后查询资料,验证漏洞,仅做记录。
angular-bootstrap-deprecated:从 npm 中删除的 npm 包,但我仍然想使用
07-06
JavaScript的世界里,Angular Bootstrap是将Angular框架与Twitter Bootstrap结合使用的流行工具,它提供了许多UI组件,如模态框、下拉菜单、导航条等,使得开发具有响应式设计的Web应用变得更加便捷。...
Web充斥着存在漏洞的过期JavaScript
weixin_34377065的博客
03-18 295
虽然使用第三方软件通常会降低开发的时间,但同时也会增加网站暴露出的攻击表面,对此我们应有充分的认识。因此需要保持第三方软件的最新版本依赖,以便从安全更新中获益。即便如此,一份近期研究表明,在Alexa排名前7.5万名的网站中,有37%的网站至少存在一处漏洞,近10%的网站至少存在两处漏洞。 除了上面提及的37%的网站易受攻击之外,研究中还给出了如下几个值得关注的结果:总体上,Web网站使用第...
已知漏洞隐患:数十万网站仍在使用老旧JavaScript
weixin_33748818的博客
07-03 827
美国东北大学研究人员在对超过 13.3 万个网站进行分析后发现,竟然有超过 37% 的站点仍在使用至少包含一个已知公开漏洞JavaScript 。研究人员早在 2014 年就意识到了这点 —— 加载过时的 JavaScript ,存在被黑客利用的潜在安全隐患(比如 jQuery 和浏览器 AngularJS 框架)。他们在一篇新报告中指出,在适当...
js页面检测到目标站点存在javascript框架漏洞
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
01-28 1万+
一、概述 在系统验收前安全检查时,绿盟检查到系统存在页面检测到目标站点存在javascript框架漏洞,如下所示: 二、分析处理 这个漏洞是绿盟扫描比较常见的一个漏洞,原因就是jquery版本过低。升级到3.3以上就可以了。 建议升级jquery,但盲目升级会导致网站部分插件不可用;本项目采用spring架构,建议处理: 1)、根据web应用漏洞,找到详情页,里面有具体的路径信息。从路径中找到该文件; 2)、注释掉版本信息; 3)、用最高版本信息代替。 如果是vue项目,你再里面引用了js-cookie
检测到目标站点存在javascript框架漏洞
dong__xue的博客
02-22 8951
系统上正式环境之前需要通过扫描:绿盟科技"远程安全评估系统"安全评估报告, “检测到目标站点存在javascript框架漏洞” 这个漏洞是因为jquery的版本问题,我们又不能将jquery替换为最新的(版本升级导致有些使用的地方不兼容、出错等)。做如下修改:将源文件中凡是有版本标识的地方都改为最新的3.6.0 如果替换后还是会有这个那就老老实实换jquery的源码吧! ...
Python | django-badbrowser-1.0.3.tar.gz
03-02
总的来说,`django-badbrowser-1.0.3`是Django开发者处理浏览器兼容性问题的有效工具,它提供了一种结构化的方法来管理和优化用户访问体验,特别是在处理老旧浏览器时。通过集成这个,开发者可以更加专注于创建...
live-stats:使用https的示例
03-22
同时,避免使用已知存在安全漏洞的算法。 5. **安全最佳实践**:定期更新SSL证书,启用HSTS(HTTP Strict Transport Security)以强制浏览器始终使用HTTPS,启用预加载列表,使浏览器在首次访问时就使用HTTPS。此外...
遗产后端:此遗产后端
02-17
在IT行业中,“遗产后端”通常指的是那些已经过时,但仍在运行的老旧系统,它们可能基于早期的技术栈,维护成本高且效率低下。这些系统往往承载着企业的核心业务逻辑,由于历史原因,替换它们会涉及到巨大的风险和...
jdk1.6+jdk1.7+jdk1.8的官方最新tar版本,目前jdk1.6,1.7已在Oracle官网下架了哦
02-15
对于仍在维护使用Java 7的老项目,这个版本的安全性和稳定性都得到了加强。 3. JDK 1.8(Java 8)是2014年的发布,它引入了函数式编程元素,如Lambda表达式,流API(Stream API),日期/时间API的改进,以及新的 ...
retire.js:扫描程序检测已知漏洞JavaScript使用
01-30
Retire.js 您所需要的还必须退休 在Web上以及在那里的Node.JS应用程序中都有大量JavaScript。 这极大地简化了开发,但是我们需要保持最新的安全修补程序。 现在,“使用具有已知漏洞的组件”已成为安全风险列表的一部分,不安全的可能给您的Web应用带来巨大的风险。 Retire.js的目标是帮助您检测具有已知漏洞的JS版本的使用。 Retire.js可以通过多种方式使用: 命令行扫描仪 扫描Web应用程序或节点应用程序以使用易受攻击JavaScript和/或Node.JS模块。 在应用程序文件夹的源代码文件夹中运行: $ npm install -g retire $ retire Grunt插件 在应用程序的构建例程或某些其他自动化工作流程中 。 Gulp任务 一个Gulp任务的示例,可以在gulpfile中使用它来自动监视和扫描项目文件。 您可以根据需要修改监视模式和(可选)Retire.js选项。 const c = require ( 'ansi-colors' ) ; var gulp = require ( 'gulp' ) ; var be
安全扫描:检测到目标站点存在javascript框架漏洞
qq_42522803的博客
02-08 3475
检测到目标站点存在javascript框架漏洞的解决方法
检测到目标站点存在javascript框架漏洞 绿盟 web
热门推荐
jingleifan的博客
05-30 2万+
详细描述 JavaScript 框架或是一组能轻松生成跨浏览器兼容的 JavaScript 代码的工具和函数。如果网站使用了存在漏洞JavaScript 框架或,攻击者就可以利用此漏洞来劫持用户浏览器,进行挂马、XSS、Cookie劫持等攻击 解决办法 将受影响的javascript框架升级到最新版本 威胁分值 6 危险插件 否 发现日期 2001-0...
Javascript框架漏洞验证,劲爆
最新发布
04-17 856
经常看到漏扫扫出来这个漏洞,查看了网上好多文章都没有正确的验证方法都在扯淡。今天我来点干货记录一下这个漏洞到底是怎么触发JS生成XSS的,也方便后面漏洞验证报告的书写。AWVS扫出来的JS框架漏洞RSAS扫出来的JS框架漏洞
JavaScript 框架(
weixin_33921089的博客
09-27 131
JavaScript 框架(JavaScript 高级程序设计(特别是对浏览器差异的复杂处理),通常很困难也很耗时。 为了应对这些调整,许多的JavaScript (helper) 应运而生。 这些 JavaScript 常被称为JavaScript 框架。 在本教程中,我们将了解到一些广受欢迎的 JavaScript 框架: jQuery Prototype Mo...
基于JavaScript的框架漏洞_javascript框架漏洞
m0_60607245的博客
04-09 895
picture cut是一个jquery插件,以非常友好和简单的方式处理图像,具有基于bootstrap或jquery ui的漂亮界面,具有ajax上传,从资源管理器拖动图像,图像裁剪等强大的功能。中调用**…/core/PictureCut.php** 处理文件上传的代码不检查文件类型并允许用户选择文件位置路径。未经身份验证的用户并将可执行的 PHP 文件上传到服务器,从而允许执行代码。
javascript漏洞-检测到目标站点存在javascript框架漏洞
laughingsister的博客
05-18 5704
一般是让升级为最新的版本的脚本文件,但是实际使用过程中,有的插件不兼容,盲目升级会导致网站部分插件不可用。 下面是一种解决方案。 比如漏洞扫描出jquery:2.1.4。作以下处理: 一、根据web应用漏洞,找到详情页,里面有具体的路径信息。从路径中找到该文件; 二、注释掉版本信息; 三、用最高版本信息代替。 基本上可以解决【检测到目标站点存在javascript框架漏洞】问题。 ...
77%的网站使用了至少有1个漏洞JavaScript
u012996572的博客
04-06 2609
本文抓取了Alexa 上可以访问的TOP 5000的网站URL,使用WebPageTest通跑了一遍。WebPageTest在Chrome中加载每个页面,并且执行一些 JavaScript 脚本来判断其使用JavaScript 。对于每个检测的版本,都和 Snyk 开源软件漏洞进行对比,以此来看有多少包含了已知漏洞。结果发现:5000个网站中,有3831个(76.6%)使用了至少包含有 ...
漏洞修复:javascript框架漏洞
iceliooo的专栏
11-01 2万+
漏洞修复:javascript框架漏洞重现方案一:升级Servlet3.0需要兼容 Java EE 6.0 的容器,如Tomcat7方案二:利用HttpResponse的addHeader方法,设置Set-Cookie的值 JavaScript 框架或是一组能轻松生成跨浏览器兼容的 JavaScript 代码的工具和函数。如果网站使用了存在漏洞JavaScript 框架或,攻击者就可以利...
怎么测试是否有易受攻击的 JavaScript
07-08
2. 使用漏洞扫描工具:使用针对 JavaScript 漏洞扫描工具,例如 Retire.js、Snyk、NPM Audit 等,来检测中是否存在已知的安全漏洞。这些工具会分析的依赖关系,并检查是否存在已知漏洞或安全问题。 3. ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值