I begynnelsen av denne uken skrev digi.no om en undersøkelse som viste at svært mange nettsteder internasjonalt benytter JavaScript-biblioteker som har kjente sårbarheter. 37,8 prosent av de 133 000 nettstedene som var blitt undersøkt, lastet minst ett sårbart bibliotek.
Nå har vi fått tilgang til tall som viser at tilstanden ikke er særlig bedre blant norske nettsteder. Sikkerhetskonsulenten Erlend Oftedal skannet hele 334 465 .no-domener i oktober i fjor. Resultatet viste at 37 prosent av nettstedene hadde biblioteker med kjente sårbarheter.
Oftedal forteller til digi.no at han har utført skanningen ved hjelp av et verktøy, retirejs, som han har utviklet selv. Det kan brukes som kommandolinjeverktøy eller som en Chrome-utvidelse. Men for å teste enkeltnettsteder er nok det enkleste å bruke denne tilhørende tjenesten.
Cross-site scripting
Nå er det ikke slik at alle sårbarhetene i de ulike bibliotekene kan utnyttes på disse nettstedene.
– Risikoene knyttet til sårbarhetene i klientside JavaScript-biblioteker er typisk knyttet til cross-site scripting (XSS). Hvis jeg for eksempel har personlige data på site A, og site A er rammet av en slik sårbarhet, kan en annen side som jeg besøker, åpne en skjult iframe eller lignende, og kjøre script på site A i min nettleser. Dette kan brukes til å stjele eller endre innhold, forklarer Oftedal i en epost til digi.no.
– En annen mulighet er klient-side DOS [Denial of Service, journ. anm.] (gjøre slik at nettleseren slutter å svare eller bruker veldig mye CPU), eller å redirecte nettleseren til en phishing- eller malware-site.
Leste du denne? Dette må du vite om «Cross-Site Scripting»-angrep – og slik beskytter du deg (Digi Ekstra)
Hindringer
Forskerne som vi omtalte i vår tidligere sak om dette temaet, påpekte at det ofte ikke er noen enkel vei ut av dette uføret, fordi en del av sårbarhetene ikke har blitt fjernet i den versjonsserien som nettstedet bruker, men i en langt nyere versjon som ikke er bakoverkompatibel, og som dermed kan kreve omskriving av koden til nettstedet. Dette kan være kostbart. Spørsmålet er om en likevel bør eller må oppgradere bibliotekene.
– Hvorvidt man skal oppdatere eller ikke, er en risikovurdering. For de fleste av disse bibliotekene, så er det ikke slik at siden som laster biblioteket nødvendigvis er sårbar av den grunn. Det kommer også an på hvordan biblioteket er brukt. Det finnes noen unntak fra dette. jQuery.prettyPhoto gjør siden sårbar for XSS dersom biblioteket er lastet, forteller Oftedal.
– Å oppgradere for eksempel jQuery til nyere versjoner skal gå greit så lenge man holder seg innenfor samme «major»-versjon (for eksempel oppgradere 1.x til 1.y). Dette gjelder også mange av de andre bibliotekene.
På spørsmål om han har inntrykk av at mange faktisk sørger for å oppgradere bibliotekene, svarer Oftedal:
– Tallene jeg sitter på sier vel at det er mange som oppgraderer, men også mange norske nettsteder som kjører med versjoner helt tilbake fra for eksempel 2006 (som var det året den første jQuery-versjonen kom). Jeg tror foreløpig at det å holde bibliotekene oppdatert har litt for lite fokus. Dette gjelder både klient-side biblioteker og server-side biblioteker (Java, .NET, node.js osv.).
Les også: Grunnleggende sikkerhetsmekanisme kan omgås med JavaScript
Spesielle observasjoner
Blant de mer enn 300 000 nettstedene Oftedal skannet i fjor høst, fant han den opprinnelige jQuery 1-utgaven hos 14 nettsteder.
Andre spesielle observasjoner han har gjort, inkluderer at det finnes norske nettsteder som laster jQuery så mange ganger som 18 på den samme siden. Det maksimale antallet ulike versjoner av jQuery Oftedal har funnet på samme side, er seks, mens det maksimale antallet sårbare biblioteker på samme side, er åtte.
Oftedal har for øvrig også skannet nettstedene til Fortune 500-selskapene tre ganger de siste årene.
I februar hadde 77 prosent av nettstedene biblioteker med kjente sårbarheter. Et år senere hadde andelen sunket til 68 prosent, men i oktober i fjor brukte hele 432 av de 500 nettstedene – 86 prosent – JavaScript-biblioteker med kjente sårbarheter.
Leste du denne? Måtte skape JavaScript på bare ti dager
