تکنولوژی

کتابخانه‌های جاوا اسکریپت، زمین بازی برای هکرها

آنالیز بیش از 133 هزار وب‌سایت نشان می‌دهد که 37 درصد آنها حداقل یک کتابخانه جاوا اسکریپت (JavaScript Library) با نقطه ضعف‌های شناخته شده دارند. محققین دانشگاه Northeastern، مطالعه انجام گرفته در سال 2014 که خطرات احتمالی استفاده از ورژن‌های منسوخ شده کتابخانه‌های جاوا اسکریپت از جمله jQuery و AngularJS در مرورگرها را ثابت کرد، ادامه و گسترش داده‌اند.

در گزارش منتشر شده توسط محققین Northeastern آمده که کتابخانه‌های جاوا اسکریپت می‌توانند در شرایط خاص آسیب‌پذیر باشند و در این‌ باره به یک باگ برنامه‌نویسی قدیمی درون سایتی به زبان jQuery اشاره شده که به مهاجمان امکان اضافه کردن دستورات مخرب به این سایت‌ها را می‌دهد.

محققین لیست 75 هزار دامنه آمازون الکسا و 75 هزار دامنه تصادفی .com را بررسی کردند و حدود 72 کتابخانه و ورژن‌های آنها را ارزیابی نمودند. در این مطالعه مشخص شد که 36.7 درصد از وب‌سایت‌های به زبان jQuery، از ورژن‌های نفوذ‌پذیر و قدیمی استفاده می‌کنند. این ارقام برای وبسایت‌هایی که از زبان‌های Angular، Handlebars و YUI استفاده کرده‌اند به ترتیب 40.1، 86.6 و 87.3 درصد بود. علاوه بر این، 9.7 درصد از این وب‌سایت‌ها از دو یا چند کتابخانه آسیب‌پذیر استفاده می‌کنند.

با این حال، محبوب‌ترین وب‌سایت‌های مورد بررسی در این مطاله از آسیب‌پذیری کمتری برخوردار هستند. نتایج محققین نشان می‌دهد که تنها 21 درصد وبسایت‌های الکسا در خطر نفوذ‌پذیری قرار دارند. در گزارش محققان آمده: “ظاهرا یافته‌های جدید ما، شواهدی علمی برای اثبات پیچیدگی، به‌هم‌ریختگی و ناامنی کتابخانه‌های قدیمی جاوااسکریپت خواهد بود”.

اصلاح چنین وبسایت‌هایی کار ساده‌ای نیست، چون تعیین ورژن کتابخانه این وبسایت‌ها کار مشکلی است و در ضمن اکثریت سایت‌ها از کتابخانه‌های با ورژن‌های قدیمی استفاده می‌کنند. برای مثال، فاصله زمانی بین ورژن کتابخانه استفاده شده در وبسایت مورد نظر با جدیدترین ورژن آن کتابخانه، بیش از سه سال است.

محققین می‌گویند: “نتایج تحقیق نشان می‌دهد که تنها بخش اندکی از وبسایت‌های دارای پتانسیل آسیب‌پذیری هستند. این سایت‌ها هم می‌توانند با اجرای آپدیت‌های جزئی جدید مشکلاتشان را برطرف کنند. یعنی کافی است مثلا به‌روزرسانی از ورژن 1.2.3 به ورژن 1.2.4 را انجام بدهند. اکثریت این وبسایت‌ها باید آخرین ورژن کتابخانه را نصب و جدیدترین آپدیت اساسی و یا جزئی آن راسریعا اجرا کنند که احتمالا به دلیل ایجاد ناهمخوانی‌های احتمالی، اعمال تغییرات در کدهای دستور نیز الزامی خواهد بود.

منبع : آی‌تی‌ایران

نوشته های مشابه

دیدگاهتان را بنویسید

دکمه بازگشت به بالا