北京时间3月13日,据美国东北大学研究人员对超过 13.3 万个网站的分析结果发现,目前有超过 37% 的站点仍在使用至少包含一个已知公开漏洞的 JavaScript 库。
据悉,研究人员并非最近才发现这一点的。早在2014年,研究人员就发现在加载老旧的 JavaScript 库时存在被黑客利用的潜在安全隐患,他们表示在适当的情况下,这些漏洞会变得十分危险,比如指向一个老旧的 jQuery 跨站脚本 bug时,攻击者可以借此向站点写入恶意脚本。
研究人员表示,目前有36.7% 的 jQuery、40.1% 的 Angular、86.6% 的 Handlebars、以及 87.3% 的 YUI 存有漏洞隐患;此外还有 9.7% 的站点包含 2 个(及 2 个以上的)漏洞库版本。但幸运的是,热门站点所使用的漏洞库比例较低。
可这并不表示万事大吉,因为仅有2.8% 的 Alexa和1.6% 的 .com可以借助免费的补丁来进行更新啦修复这些漏洞,但是如果大版本改变后,其兼容性则可能会受到影响。所以这些漏洞真的是值得关注的问题。
标签:服务器
