美国高校发布网络上使用JavaScript程序库分析报告(图)

　　美国高校发布网络上使用JavaScript程序库分析报告(图)

　　近日，美国大学安全研究团队发布了一份关于JavaScript库在互联网上的使用情况的分析报告。报告指出，在接受调查的 13.30,000 网站 名中，37% 的 网站] 存在使用易受攻击的 JavaScript 库的案例，并且至少使用了其中一个。同时，这些库中的大多数都是旧版本，已经很长时间没有更新了。

　　37%网站 存在 JavaScript 库漏洞

　　JavaScript 作为一种高级动态编程语言，是 HTML 和 CSS 并重的 Web 前端设计的标准代码。它堪称万维网（WWW）三大核心技术语言之一。 JavaScript 库是一组预先编写的子程序，用于促进 JavaScript 应用程序的开发。目前，全球约有100,000个图书馆。

　　据悉，此次*敏*感*词*以最常见的72个开源JavaScript库为标准，包括jQuery、jQuery-UI、Modernizr、Bootstrap、Yepnope、jQuery-Migrate和SWFObject等，来考察当前网站 使用和维护这些 JavaScript 库的情况。

　　通过建立上述7​​2种库每个版本的漏洞数据库，研究人员扫描了约13.30,000网站个，检测这些网站是否安装了漏洞及相关库。版本。

　　令人惊讶的结果是，37% 的 网站 使用了 1 个易受攻击的 JavaScript 库版本，而 10% 的 网站 使用了 2 个或更多易受攻击的 JavaScript 库。

　　在 Alexa 排名中使用的 7.50,000网站 库中，87.3% YUI3、86.6% Handlebars，40. 1% Angular，36. 7% 的 jQuery 和 33.7% 的 jQ-UI 都是易受攻击的版本。

　　因此，安全研究团队指出，由于只测量了 72 个 JavaScript 库，因此 37% 的比例很可能被低估了。

　　报告指出，尽管不断发布各种 JavaScript 库的更新版本，但许多 网站 仍在使用那些收录漏洞的版本。因此，对于网站的开发者来说，当务之急是采用更加系统的管理机制，快速掌握网站中使用了哪些库，并随时保持更新。

　　此外，研究人员还发现，大部分库都没有建立专门的安全更新邮件列表（mailing list），很多缺乏详细的漏洞报告，很多补丁与旧库不兼容。版本、快速的生命周期也让开发者厌倦了更新和其他问题。