Направление аудита

Внешние зависимости: jQuery, CDN, сторонние скрипты

Сторонние скрипты — один из главных векторов атаки на современные сайты. Уязвимая версия jQuery, рекламный пиксель со скомпрометированным кодом, шрифты с Google-серверов — всё это влияет на безопасность и производительность.

Retire.js
Browser Runtime
Запустить аудит Методология

Что проверяется

  • Retire.js: устаревшие JavaScript-библиотеки с известными CVE
  • jQuery: версия, уязвимости (XSS, prototype pollution)
  • Bootstrap: версия, известные проблемы
  • Сторонние CDN: зависимость от внешних серверов
  • Google Fonts: загрузка шрифтов с googleapis.com
  • Рекламные пиксели: количество, сервисы
  • Analytics: Яндекс.Метрика, GA4, Mixpanel
  • CSP и SRI: защита от модификации сторонних скриптов
  • Subresource Integrity (SRI): хеши для CDN-ресурсов

Почему это важно

  • jQuery <3.5.0 уязвим к XSS через .html() и другие методы
  • Без SRI сторонний CDN может подменить ваш скрипт
  • Каждый сторонний скрипт — потенциальная точка утечки ПДн пользователей
  • Зависимость от external CDN = downtime если CDN недоступен

Частые вопросы

Вопрос

Что такое Retire.js и как он работает?

Retire.js — инструмент обнаружения устаревших JavaScript-библиотек с известными уязвимостями. AuditGuard загружает страницу и анализирует версии библиотек, сравнивая с базой CVE.

Вопрос

Что такое Subresource Integrity (SRI)?

SRI — атрибут integrity в тегах