2019年我們追過的jQuery,它的漏洞你知道嗎?

Editor發表於2019-11-12
2019年我們追過的jQuery,它的漏洞你知道嗎?


儘管JavaScript庫jQuery不再像以前那樣流行。


但是它仍被廣泛使用。


因此,一旦它曝出漏洞,影響的網站範圍很大。



2019年jQuery主要漏洞


Snyk釋出了2019年JavaScript框架狀態安全報告,該報告主要針對兩個領先的JavaScript 框架進行安全審查,同時還調查了其他三個前端JavaScript 生態系統專案的安全漏洞:Vue.js、Bootstrap 和 jQuery 等。


報告連結:

https://snyk.io/wp-content/uploads/snyk-javascript_report_2019.pdf


根據Snyk的統計報告顯示,目前10個網站中至少有6個受到jQuery XSS漏洞的影響,在過去12個月中,jQuery的下載次數超過1.2億次。


迄今為止跟蹤到共有6個漏洞影響所有版本,其中四個屬於中等級別的跨站點指令碼漏洞,一個屬於中等級別的原型汙染漏洞,另一個是低嚴重性的拒絕服務漏洞。


也就是說,除非你使用的是jQuery 3.4.0及更高版本,否則你將處於易受攻擊的風險之中。


2019年我們追過的jQuery,它的漏洞你知道嗎?


影響大量網站


實際上,根據W3Techs的資料可以看出,使用jQueryv1.x佔所有使用jQuery的網站的84%,這也就意味著它們將面臨四個中等嚴重程度的XXS漏洞隱患,並且使用jQuery擴充套件庫會加劇威脅。


其中,jquery.js 是一個惡意包,過去 12 個月中被下載了 5444 次,其嚴重程度和其他兩個開源社群的惡意模組一樣高。


2019年我們追過的jQuery,它的漏洞你知道嗎?

報告還列出另外三個擴充套件庫:jquery-mobile、jquery-file-upload 和 jquery-colorbox。

在過去的一年裡,這三個擴充套件庫包含執行任意程式碼和跨站點指令碼的漏洞,並未進行任何修復和升級,依然有34萬次的下載量。


近年來有人認為 jQuery 不再流行,而根據報導目前它仍有高下載量,原因可能如下:

  • 目前它還有大量教程、現有網站及軟體等都是使用
  • jQuery 相關的外掛非常豐富,很多新出的 js 框架也支援 jQuery
  • 大量的程式設計師用過 jQuery,熟悉它的語法和功能,後期也會繼續使用



* 本文由看雪編輯 LYA 編譯自 i-programmer,轉載請註明來源及作者。

* 原文連結:

https://www.i-programmer.info/news/167-javascript/13232-the-perils-of-jquery.html

相關文章