发布于 2017-03-14 08:58:11 | 73 次阅读 | 评论: 0 | 来源: 网友投递

这里有新鲜出炉的Javascript教程,程序狗速度看过来!

JavaScript客户端脚本语言

Javascript 是一种由Netscape的LiveScript发展而来的原型化继承的基于对象的动态类型的区分大小写的客户端脚本语言,主要目的是为了解决服务器端语言,比如Perl,遗留的速度问题,为客户提供更流畅的浏览效果。


美国东北大学研究人员在对超过 133000 个网站分析时发现,有超过 37% 的站点仍在使用至少包含一个已知公开漏洞的 JavaScript 库。研究人员早在 2014年进行研究时就曾提醒,应当注意由于在浏览器中加载老旧版本的 JavaScript 库(如 jQuery、AngularJS 框架)而导致的潜在安全风险。

正如他们在一篇新发表的论文中所强调的,在某些条件下,这些脆弱的库会变得极其危险,比如指向一个老旧的 jQuery 跨站脚本 bug ,这将允许攻击者借机注入恶意脚本。

他们查看了来自 Amazon 的 Alexa 排名前 75000 的站点和 75000个 随机抽选的 .com 站点,评估了72个库及各自不同的版本。

研究发现,36.7% 的 jQuery、40.1% 的 Angular、86.6% 的 Handlebars、以及 87.3% 的 YUI 存有漏洞隐患;此外还有 9.7% 的站点包含 2 个(及 2 个以上的)漏洞库版本。热门站点在这方面做得相对更好,很少用不安全的库,Alexa Top 100 的站点中只有 21% 中招。

不过,研究人员对 JavaScript 生态系统的安全状态的整体评价仍然是:混乱!

研究人员写道:“本次调查可能最清晰的结果是发现了 JavaScript 库复杂、无组织的生态系统,在安全方面相当“临时”的实际证据。没有可靠的漏洞数据库,没有供应商维护的安全邮件列表,发行说明中很少或根本就没有关于安全问题的细节,通常很难确定是哪些版本的库受到指定报告的漏洞的影响。”

而且,由于很多库已经过时了,补救起来绝不容易。只有少量站点( Alexa 中的 2.8%、.com 中的 1.6% )可以通过免费补丁进行更新修复,因为大版本的跃迁可能会无法向后兼容。

编译自:zdnet



相关阅读 :
数万网站仍在使用有已知漏洞的老旧 JavaScript 库
瑞典选民使用JavaScript代码作为自填候选人
2015 上半年 JavaScript 使用统计数据
JavaScript文件惹祸:卡戴珊新网站不慎泄露了用户名和电子邮件
在 Node 的帮助下,横跨多平台的 JavaScript 已经赢了
微软的 JavaScript 引擎将很快支持 Asm.js
创造 JavaScript 仅用 10 天,名称是为了更好推广
JavaScript诞生二十年
用 JavaScript 实现内存位翻转
JerryScript 和 IoT.js:来自三星的物联网 JavaScript
JavaScript 开发大师 Remy Sharp 谈调试的艺术
最流行的编程语言 JavaScript 能做什么?
最新网友评论  共有(0)条评论 发布评论 返回顶部

Copyright © 2007-2017 PHPERZ.COM All Rights Reserved   冀ICP备14009818号  版权声明  广告服务