Web充斥着存在漏洞的过期JavaScript库

最新推荐文章于 2023-02-08 15:55:55 发布
最新推荐文章于 2023-02-08 15:55:55 发布
阅读量296 收藏
点赞数
文章标签: javascript ViewUI
原文链接:http://www.cnblogs.com/Unknw/p/6572144.html
版权

虽然使用第三方软件库通常会降低开发的时间,但同时也会增加网站暴露出的攻击表面,对此我们应有充分的认识。因此需要保持第三方软件库的最新版本依赖,以便从安全更新中获益。即便如此,一份近期研究表明,在Alexa排名前7.5万名的网站中,有37%的网站至少存在一处漏洞,近10%的网站至少存在两处漏洞。

除了上面提及的37%的网站易受攻击之外,研究中还给出了如下几个值得关注的结果:总体上,Web网站使用第三方软件库的版本过期情况令人惊讶。对于Alexa排名前7.5万的网站,在用软件库与最新版本软件库之间的平均拖后时间是1177天(三年以上)。通常,包含存在漏洞的软件库的问题是由外部组件所致,例如广告、跟踪或社会媒体挂件等。另一个风险因素来自于对软件库的重复包含,从漏洞的角度看,这为不确定行为提供了空间。

转载于:https://www.cnblogs.com/Unknw/p/6572144.html

weixin_34377065
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
retire.js:扫描程序检测已知漏洞JavaScript的使用
01-30
Retire.js 您所需要的还必须退休 在Web上以及在那里的Node.JS应用程序中都有大量JavaScript。 这极大地简化了开发,但是我们需要保持最新的安全修补程序。 现在,“使用具有已知漏洞的组件”已成为安全风险列表的一部分,不安全的可能给您的Web应用带来巨大的风险。 Retire.js的目标是帮助您检测具有已知漏洞的JS版本的使用。 Retire.js可以通过多种方式使用: 命令行扫描仪 扫描Web应用程序或节点应用程序以使用易受攻击JavaScript和/或Node.JS模块。 在应用程序文件夹的源代码文件夹中运行: $ npm install -g retire $ retire Grunt插件 在应用程序的构建例程或某些其他自动化工作流程中 。 Gulp任务 一个Gulp任务的示例,可以在gulpfile中使用它来自动监视和扫描项目文件。 您可以根据需要修改监视模式和(可选)Retire.js选项。 const c = require ( 'ansi-colors' ) ; var gulp = require ( 'gulp' ) ; var be
15 个 JavaScript Web UI
12-13
本文介绍了 15 个非常强大的 JavaScript Web UI ,非常适合各种各种规模的富 Web 应用的开发。 LivePipe LivePipe UI 基于 Prototype Javascript 框架,包含了一整套经严格测试并高度可扩展的 UI 控件,拥有很好的...
检测到目标站点存在javascript框架漏洞 绿盟 web
热门推荐
jingleifan的博客
05-30 2万+
详细描述 JavaScript 框架是一组能轻松生成跨浏览器兼容的 JavaScript 代码的工具和函数。如果网站使用了存在漏洞JavaScript 框架,攻击者就可以利用此漏洞来劫持用户浏览器,进行挂马、XSS、Cookie劫持等攻击 解决办法 将受影响的javascript框架升级到最新版本 威胁分值 6 危险插件 否 发现日期 2001-0...
已知漏洞隐患:数十万网站仍在使用老旧的 JavaScript
weixin_33748818的博客
07-03 827
美国东北大学研究人员在对超过 13.3 万个网站进行分析后发现,竟然有超过 37% 的站点仍在使用至少包含一个已知公开漏洞JavaScript 。研究人员早在 2014 年就意识到了这点 —— 加载过时的 JavaScript 存在被黑客利用的潜在安全隐患(比如 jQuery 和浏览器 AngularJS 框架)。他们在一篇新报告中指出,在适当...
研究表明Web充斥存在漏洞过期JavaScript
weixin_33826609的博客
07-04 72
虽然使用第三方软件通常会降低开发的时间,但同时也会增加网站暴露出的攻击表面,对此我们应有充分的认识。因此需要保持第三方软件的最新版本依赖,以便从安全更新中获益。即便如此,一份近期研究表明,在Alexa排名前7.5万名的网站中,有37%的网站至少存在一处漏洞,近10%的网站至少存在两处漏洞。举个例子,在导入了jQuery软件的网站中,有36.7%使用...
数万网站仍在使用有已知漏洞的老旧 JavaScript
weixin_33691700的博客
06-02 925
美国东北大学研究人员在对超过 133000 个网站分析时发现,有超过 37% 的站点仍在使用至少包含一个已知公开漏洞JavaScript 。研究人员早在 2014年进行研究时就曾提醒,应当注意由于在浏览器中加载老旧版本的 JavaScript (如 jQuery、AngularJS 框架)而导致的潜在安全风险。 正如他们在一篇新发表的论文...
基于Django的Python Web框架学习练习设计源码
最新发布
04-15
基于Django的Python Web框架学习练习设计源码,该项目包含442个文件,主要文件类型有442个javascript文件,以及187个html页面文件。此外,还包括52个python源文件,52个css样式文件,49个markdown文档用于项目说明...
web3js-eea:EEA JavaScript
04-28
JavaScript可以: 创建和发送私人交易 创建,删除和查找隐私组 问题 web3.js-eea问题在进行了跟踪。 有关搜索和创建问题的更多详细信息,请参见我们的。 使用 文档描述了如何。 相容性矩阵 这些已经在Besu和...
Professional JavaScript for Web Developers
01-18
Professional JavaScript for Web Developers is the essential guide to next-level JavaScript development. Written for intermediate-to-advanced programmers, this book jumps right into the technical ...
js页面检测到目标站点存在javascript框架漏洞
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
01-28 1万+
一、概述 在系统验收前安全检查时,绿盟检查到系统存在页面检测到目标站点存在javascript框架漏洞,如下所示: 二、分析处理 这个漏洞绿盟扫描比较常见的一个漏洞,原因就是jquery版本过低。升级到3.3以上就可以了。 建议升级jquery,但盲目升级会导致网站部分插件不可用;本项目采用spring架构,建议处理: 1)、根据web应用漏洞,找到详情页,里面有具体的路径信息。从路径中找到该文件; 2)、注释掉版本信息; 3)、用最高版本信息代替。 如果是vue项目,你再里面引用了js-cookie
JavaScript 常见安全漏洞和自动化检测技术
10-23
js安全漏洞目前存在较大的技术难题,本文结合案例给大家详解JavaScript 常见安全漏洞和自动化检测技术,需要的朋友可以参考下
绿盟安全扫描--检测到目标站点存在javascript框架漏洞
qq_33240556的博客
06-16 1074
解决方法: 升级jQuery版本到3.3.4,再次扫描,问题就解决了
javascript漏洞-检测到目标站点存在javascript框架漏洞
laughingsister的博客
05-18 5704
一般是让升级为最新的版本的脚本文件,但是实际使用过程中,有的插件不兼容,盲目升级会导致网站部分插件不可用。 下面是一种解决方案。 比如漏洞扫描出jquery:2.1.4。作以下处理: 一、根据web应用漏洞,找到详情页,里面有具体的路径信息。从路径中找到该文件; 二、注释掉版本信息; 三、用最高版本信息代替。 基本上可以解决【检测到目标站点存在javascript框架漏洞】问题。 ...
安全漏洞:检测到目标站点存在javascript框架漏洞
面向未来的历史
03-12 1万+
将用若依框架开发的后台管理系统代码使用绿盟安全检测,结果:检测到目标站点存在javascript框架漏洞。 如图: 网上针对这个问题一般都是说jquery 版本过低,升级版本就行,但是若依中并没有使用 jquery。 或者将 cookie 改成 localstorage 若依框架中的确是用了 js-cookie。 将cookie 改为 localStorage 后, 该问题还是存在。 ...
安全扫描:检测到目标站点存在javascript框架漏洞
qq_42522803的博客
02-08 3475
检测到目标站点存在javascript框架漏洞的解决方法
检测到目标站点存在javascript框架漏洞
Java旅途
08-05 1万+
这个漏洞绿盟扫描比较常见的一个漏洞,原因就是jquery版本过低。升级到3.3以上就可以了。 ——————————重点专用分割线—————————— vue项目并没有所谓的Jquery,为什么还会扫出这个漏洞。 这是因为vue项目里面引用了js-cookie用来存放登录的一些信息了。删除js-cookie重新打包就可以了。至于页面上的数据,那就存放在localstroge就行啦。 具体用法如下: var storage=localStorage; // 存放数据 storage.setItem("ke.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值