Test

Dit is een popup

Verouderde JavaScript maakt meer dan een derde van alle websites onveilig

Een significant deel van het internet is te hacken omdat websites steunen op oude JavaScript-bibliotheken, zo stelt een nieuwe Amerikaanse studie.

Een analyse van meer dan 133.000 websites legt bloot dat 37 procent van de onderzochte webpagina’s een JavaScript-bibliotheek gebruiken die een gekende kwetsbaarheid bevat. 10 procent van het totaal steunt zelfs op twee of meer onveilige bibliotheken. De studie werd uitgevoerd aan de Northeastern University in Boston en is volgens de betrokken wetenschappers “de eerste omvangrijke studie van front-office gebruik van Javascript-bibliotheken en de veiligheidsimplicaties die daaruit voortvloeien voor het internet”.

Onderbelicht

Volgens de onderzoekers is er in het verleden al veel energie gestoken in het onderzoeken van specifieke kwetsbaarheden in bibliotheken, maar blijft de manier waarop men omgaat met JavaScript vaak onderbelicht.

Omdat websites met heel wat platformen en browsers compatibel moeten zijn, bevatten ze veel en diverse computercode, waardoor aanvallers een breed speelveld hebben om naar kwetsbaarheden te zoeken. Het is voornamelijk het veelvuldig gebruik van third-party JavaScript-bibliotheken door websites die de onderzoekers zorgen baart. Die praktijk verhoogt het risico dat kwetsbaarheden worden overgeërfd uit verouderde code.

Verouderd

[related_article id=”212907″]

In de studie identificeert men 72 veelgebruikte JavaScript-bibliotheken. In hun steekproef vonden de onderzoekers onder meer dat voor 36,7 procent van jQuery, 40,1 procent van Angular, 86,6 procent van Handlebars en 87,3 procent van YUI websitebouwers gebruik maakten van een kwetsbare versie van JavaScript.

De studie keek ook naar hoe recent de gebruikte bibliotheken in websites geüpdatet zijn. De website die de mediaan van steekproef vormde, deed beroep op een Javascript-bibliotheek die drie jaar ouder was dan de nieuwste versie van de variant. “Dit verklaart waarom zoveel kwetsbare JavaScript-bibliotheken op het web aanwezig blijven,” aldus het rapport.

Meer controle

De resultaten van de studie leiden de wetenschappers ertoe om het volgende te concluderen: “Misschien is onze meest ontnuchterende bevinding het praktische bewijs dat het JavaScipt-bibliotheek ecosysteem complex, ongeorganiseerd en erg “ad hoc” is op het vlak van beveiliging. Er zijn geen betrouwbare databanken voor kwetsbaarheden, geen security mailinglijsten onderhouden door de verkopers van de bibliotheken, weinig of geen details over veiligheidsproblemen in updatenota’s, en vaak is het moeilijk om te bepalen welke versies van een bibliotheek een ontdekte kwetsbaarheid bevatten.” De studie breekt dan ook een lans voor een beter gecontroleerde aanpak van de implementatie van JavaScript-bibliotheken op het web.

Een analyse van meer dan 133.000 websites legt bloot dat 37 procent van de onderzochte webpagina’s een JavaScript-bibliotheek gebruiken die een gekende kwetsbaarheid bevat. 10 procent van het totaal steunt zelfs op twee of meer onveilige bibliotheken. De studie werd uitgevoerd aan de Northeastern University in Boston en is volgens de betrokken wetenschappers “de eerste omvangrijke studie van front-office gebruik van Javascript-bibliotheken en de veiligheidsimplicaties die daaruit voortvloeien voor het internet”.

Onderbelicht

Volgens de onderzoekers is er in het verleden al veel energie gestoken in het onderzoeken van specifieke kwetsbaarheden in bibliotheken, maar blijft de manier waarop men omgaat met JavaScript vaak onderbelicht.

Omdat websites met heel wat platformen en browsers compatibel moeten zijn, bevatten ze veel en diverse computercode, waardoor aanvallers een breed speelveld hebben om naar kwetsbaarheden te zoeken. Het is voornamelijk het veelvuldig gebruik van third-party JavaScript-bibliotheken door websites die de onderzoekers zorgen baart. Die praktijk verhoogt het risico dat kwetsbaarheden worden overgeërfd uit verouderde code.

Verouderd

[related_article id=”212907″]

In de studie identificeert men 72 veelgebruikte JavaScript-bibliotheken. In hun steekproef vonden de onderzoekers onder meer dat voor 36,7 procent van jQuery, 40,1 procent van Angular, 86,6 procent van Handlebars en 87,3 procent van YUI websitebouwers gebruik maakten van een kwetsbare versie van JavaScript.

De studie keek ook naar hoe recent de gebruikte bibliotheken in websites geüpdatet zijn. De website die de mediaan van steekproef vormde, deed beroep op een Javascript-bibliotheek die drie jaar ouder was dan de nieuwste versie van de variant. “Dit verklaart waarom zoveel kwetsbare JavaScript-bibliotheken op het web aanwezig blijven,” aldus het rapport.

Meer controle

De resultaten van de studie leiden de wetenschappers ertoe om het volgende te concluderen: “Misschien is onze meest ontnuchterende bevinding het praktische bewijs dat het JavaScipt-bibliotheek ecosysteem complex, ongeorganiseerd en erg “ad hoc” is op het vlak van beveiliging. Er zijn geen betrouwbare databanken voor kwetsbaarheden, geen security mailinglijsten onderhouden door de verkopers van de bibliotheken, weinig of geen details over veiligheidsproblemen in updatenota’s, en vaak is het moeilijk om te bepalen welke versies van een bibliotheek een ontdekte kwetsbaarheid bevatten.” De studie breekt dan ook een lans voor een beter gecontroleerde aanpak van de implementatie van JavaScript-bibliotheken op het web.

Beveiliginginternetjavascriptwebdesign

Gerelateerde artikelen

Volg ons

ICT Jaarboek 2021-2022 – TechPulse Business

ICT Jaarboek 2021-2022 – TechPulse Business

Bestel nu!