کتابخانههای جاوا اسکریپت، زمین بازی برای هکرها
دنیای اقتصاد: بررسی بیش از ۱۳۳ هزار وبسایت نشان میدهد که ۳۷ درصد آنها حداقل یک کتابخانه جاوا اسکریپت (JavaScript Library) با ضعفهای شناخته شده دارند. محققان دانشگاه Northeastern، مطالعه انجام گرفته در سال ۲۰۱۴ که خطرات احتمالی استفاده از ورژنهای منسوخ شده کتابخانههای جاوا اسکریپت از جمله jQuery و AngularJS در مرورگرها را ثابت کرد، ادامه و گسترش دادهاند. در گزارش منتشر شده از سوی محققان Northeastern آمده که کتابخانههای جاوا اسکریپت میتوانند در شرایط خاص آسیبپذیر باشند و در این باره به یک باگ برنامهنویسی قدیمی درون سایتی به زبان jQuery اشاره شده که به مهاجمان امکان اضافه کردن دستورات مخرب به این سایتها را میدهد.
دنیای اقتصاد: بررسی بیش از ۱۳۳ هزار وبسایت نشان میدهد که ۳۷ درصد آنها حداقل یک کتابخانه جاوا اسکریپت (JavaScript Library) با ضعفهای شناخته شده دارند. محققان دانشگاه Northeastern، مطالعه انجام گرفته در سال ۲۰۱۴ که خطرات احتمالی استفاده از ورژنهای منسوخ شده کتابخانههای جاوا اسکریپت از جمله jQuery و AngularJS در مرورگرها را ثابت کرد، ادامه و گسترش دادهاند. در گزارش منتشر شده از سوی محققان Northeastern آمده که کتابخانههای جاوا اسکریپت میتوانند در شرایط خاص آسیبپذیر باشند و در این باره به یک باگ برنامهنویسی قدیمی درون سایتی به زبان jQuery اشاره شده که به مهاجمان امکان اضافه کردن دستورات مخرب به این سایتها را میدهد. محققان لیست ۷۵ هزار دامنه آمازون الکسا و ۷۵ هزار دامنه تصادفی.com را بررسی و حدود ۷۲ کتابخانه و ورژنهای آنها را ارزیابی کردند. در این مطالعه مشخص شد که ۷/۳۶درصد از وبسایتهای به زبان jQuery، از ورژنهای نفوذپذیر و قدیمی استفاده میکنند.
این ارقام برای وبسایتهایی که از زبانهای Angular، Handlebars و YUI استفاده کردهاند به ترتیب ۱/۴۰، ۶/۸۶ و ۳/۸۷ درصد بود. علاوه بر این، ۷/۹ درصد از این وبسایتها از دو یا چند کتابخانه آسیبپذیر استفاده میکنند. با این حال، محبوبترین وبسایتهای مورد بررسی در این مطالعه از آسیبپذیری کمتری برخوردار هستند. نتایج محققان نشان میدهد تنها ۲۱ درصد وبسایتهای الکسا در خطر نفوذپذیری قرار دارند. در گزارش محققان آمده: «ظاهرا یافتههای جدید ما، شواهدی علمی برای اثبات پیچیدگی، بههمریختگی و ناامنی کتابخانههای قدیمی جاوااسکریپت خواهد بود.» اصلاح چنین وبسایتهایی کار سادهای نیست، چون تعیین ورژن کتابخانه این وبسایتها کار مشکلی است و در ضمن اکثریت سایتها از کتابخانههای با ورژنهای قدیمی استفاده میکنند. برای مثال، فاصله زمانی بین ورژن کتابخانه استفاده شده در وبسایت مورد نظر با جدیدترین ورژن آن کتابخانه، بیش از سه سال است. محققان میگویند: «نتایج تحقیق نشان میدهد تنها بخش اندکی از وبسایتها دارای پتانسیل آسیبپذیری هستند. این سایتها هم میتوانند با اجرای آپدیتهای جزئی جدید مشکلاتشان را برطرف کنند. یعنی کافی است مثلا بهروزرسانی از ورژن ۱.۲.۳ به ورژن ۱.۲.۴ را انجام دهند. اکثر این وبسایتها باید آخرین ورژن کتابخانه را نصب و جدیدترین آپدیت اساسی یا جزئی آن را سریعا اجرا کنند که احتمالا به دلیل ایجاد ناهمخوانیهای احتمالی، اعمال تغییرات در کدهای دستور نیز الزامی خواهد بود.
ارسال نظر