[情報] 網路安全業者展示Javascript攻擊程式

看板Ajax作者taicomjp (Kurosagi.)時間17年前 (2007/03/27 13:47)推噓0(0推 0噓 0→)

留言0則, 0人參與討論串1/1

網路安全業者展示Javascript攻擊程式文/陳曉莉 (編譯) 2007-03-26 為了讓各界暸解Javascript網站及應用程式的漏洞可能會造成嚴重的安全問題，安全業者展示了Javascript的攻擊。在以使用者應用為主的Web 2.0概念興起後，專門用來撰寫網路服務的Javascript及AJAX 程式語言也隨之大行其道，但網路安全業者SPI Dynamics在上周六（3/24）舉行的 ShmooCon駭客會議中展示了Javascript攻擊程式，目的是為了讓各界暸解Javascript網站及應用程式的漏洞可能會造成嚴重的安全問題。 SPI Dynamics研究人員Billy Hoffman在部落格中表示，去年以來跨網站描述（ Cross-Site Scripting，XSS）漏洞所造成的損害不斷擴大，再加上Javascript的新功能將能讓駭客透過XSS執行更先進的攻擊，包括可自我繁殖的XSS+AJAX蠕蟲、鍵盤及滑鼠側錄、偵測連結埠、攻擊企業內應用程式，以及竊取搜尋引擎查詢或瀏覽器歷史紀錄等，這些種種的惡意程式現在都在駭客的工具箱裡頭了。 Billy Hoffman指出JavaScript的漏洞出現在各個網站，從知名的線上零售業者到大型的金融服務網站。要執行一個跨網站描述攻擊，駭客通常是透過一個合法網站的漏洞將惡意程式植入使用者的瀏覽器中，之後再存取使用者的個人資料，由於此一攻擊是針對網站漏洞，因此使用者幾乎是無計可施，除非使用者關閉瀏覽器中的JavaScript功能，否則還是得依賴業者維護其網站安全。為了證明所言不假，Billy Hoffman展示了用JavaScript所開發的Jikto漏洞偵測工具，它可偵測網站或線上應用程式的漏洞，還能載入使用者瀏覽器中，並搜集使用者電腦中的資料，再將這些漏洞及個人資料回傳到駭客手中。 Billy Hoffman說該公司並不會公布Jikto程式碼，以避免被濫用，此一程式只是為了讓網站開發及管理人員了解，駭客很容易就能結合JavaScipt、AJAX或其他網站技術進行強力攻擊。（編譯/陳曉莉） http://www.ithome.com.tw/itadm/article.php?c=42630 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 134.208.2.124