Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 29/1/2016
Google har lukket et sikkerhedshul i Angular.js, der giver mulighed for cross-site scripting. En udvikler advarer om grundlæggende problemer med Angular.Angular er et Javascript-program, der gør det muligt at opbygge websteder baseret på skabeloner. Udvikler Gareth Heyes fra PortSwigger har fundet flere sårbarheder i systemet.
Den seneste sårbarhed ligger i muligheden for at få Angular til at beregne udtryk ved at skrive dem i dobbelte krøllede parenteser. Gareth Heyes har fundet en metode til at komme ud af sandkassen og udføre cross-site scripting-angreb.
Google har lukket hullet med version 1.5 af Angular.js. Men Gareth Heyes mener ikke, opdateringen giver tilstrækkelig beskyttelse mod skadeligt input.
Anbefaling
Udviklere, der udnytter Angular, bør læse Gareth Heyes advarsel og sætte sig ind i konsekvenserne.