آنالیز بیش از 133 هزار وبسایت نشان میدهد که 37 درصد آنها حداقل یک کتابخانه جاوا اسکریپت (JavaScript Library) با نقطه ضعفهای شناخته شده دارند. محققین دانشگاه Northeastern، مطالعه انجام گرفته در سال 2014 که خطرات احتمالی استفاده از ورژنهای منسوخ شده کتابخانههای جاوا اسکریپت از جمله jQuery و AngularJS در مرورگرها را ثابت کرد، ادامه و گسترش دادهاند.
در گزارش منتشر شده توسط محققین Northeastern آمده که کتابخانههای جاوا اسکریپت میتوانند در شرایط خاص آسیبپذیر باشند و در این باره به یک باگ برنامهنویسی قدیمی درون سایتی به زبان jQuery اشاره شده که به مهاجمان امکان اضافه کردن دستورات مخرب به این سایتها را میدهد.
محققین لیست 75 هزار دامنه آمازون الکسا و 75 هزار دامنه تصادفی .com را بررسی کردند و حدود 72 کتابخانه و ورژنهای آنها را ارزیابی نمودند. در این مطالعه مشخص شد که 36.7 درصد از وبسایتهای به زبان jQuery، از ورژنهای نفوذپذیر و قدیمی استفاده میکنند. این ارقام برای وبسایتهایی که از زبانهای Angular، Handlebars و YUI استفاده کردهاند به ترتیب 40.1، 86.6 و 87.3 درصد بود. علاوه بر این، 9.7 درصد از این وبسایتها از دو یا چند کتابخانه آسیبپذیر استفاده میکنند.
با این حال، محبوبترین وبسایتهای مورد بررسی در این مطاله از آسیبپذیری کمتری برخوردار هستند. نتایج محققین نشان میدهد که تنها 21 درصد وبسایتهای الکسا در خطر نفوذپذیری قرار دارند. در گزارش محققان آمده: “ظاهرا یافتههای جدید ما، شواهدی علمی برای اثبات پیچیدگی، بههمریختگی و ناامنی کتابخانههای قدیمی جاوااسکریپت خواهد بود”.
اصلاح چنین وبسایتهایی کار سادهای نیست، چون تعیین ورژن کتابخانه این وبسایتها کار مشکلی است و در ضمن اکثریت سایتها از کتابخانههای با ورژنهای قدیمی استفاده میکنند. برای مثال، فاصله زمانی بین ورژن کتابخانه استفاده شده در وبسایت مورد نظر با جدیدترین ورژن آن کتابخانه، بیش از سه سال است.
محققین میگویند: “نتایج تحقیق نشان میدهد که تنها بخش اندکی از وبسایتهای دارای پتانسیل آسیبپذیری هستند. این سایتها هم میتوانند با اجرای آپدیتهای جزئی جدید مشکلاتشان را برطرف کنند. یعنی کافی است مثلا بهروزرسانی از ورژن 1.2.3 به ورژن 1.2.4 را انجام بدهند. اکثریت این وبسایتها باید آخرین ورژن کتابخانه را نصب و جدیدترین آپدیت اساسی و یا جزئی آن راسریعا اجرا کنند که احتمالا به دلیل ایجاد ناهمخوانیهای احتمالی، اعمال تغییرات در کدهای دستور نیز الزامی خواهد بود.
منبع : آیتیایران
