[情報] 資安業者展示JavaScript綁架漏洞

看板Ajax作者taicomjp (Kurosagi.)時間17年前 (2007/04/03 15:51)推噓2(2推 0噓 1→)

留言3則, 2人參與討論串1/2 (看更多)

資安業者展示JavaScript綁架漏洞文/陳曉莉 (編譯) 2007-04-03 所謂的JavaScript Hijacking是讓駭客能夠以使用者的身份存取Web 2.0應用程式，同時駭客也能讀取使用JavaScript的瀏覽器與應用程式間所傳輸的機密資料。資安業者Fortify在周一（4/2）發表一份文件，讓企業了解如何修補Web 2.0及AJAX軟體中的重要漏洞。這是因為Fortify發現了一JavaScript 綁架（Hijacking）漏洞，可讓駭客劫持使用者的瀏覽器並且竊取機密資料。Fortify先針對12個著名的AJAX架構進行分析，發現大多數的 AJAX架構並未提供任何的保護，而且也未註明任何安全議題。 Fortify所分析的AJAX架構涵蓋Google、微軟及Yahoo所提供的AJAX或Web工具包等，結果僅有Direct Web Remoting （DWR） 2.0能夠預防JavaScript Hijacking。所謂的JavaScript Hijacking是讓駭客能夠以使用者的身份存取Web 2.0應用程式，同時駭客也能讀取使用JavaScript的瀏覽器與應用程式間所傳輸的機密資料，因此駭客就能夠進行商品買賣、股票交易，還能更改企業網路的安全設定，甚至進一步存取或處理企業的客戶、庫存與財務資訊。標榜能夠很快建置可迅速存取資料、強化應用程式效能及促進合作的Web 2.0逐漸成為主流，Fortify引用McKinsey的研究報告指出，約有75%的企業計畫增加對Web 2.0技術的投資，而最喜歡採用Web 2.0技術的產業為零售業、高科技產業、電信業、金融業及醫藥產業等。不過，Fortify共同創辦人Brian Chess指出，這也顯示出Web 2.0的安全愈來愈重要，而且，這並不像一般在應用程式或作業系統中出現的漏洞，沒有任何單一的銷售商可以解決此漏洞，因此該公司才必須透過文件讓軟體開發人員了解Web 2.0所帶來的風險。這並不是市場上第一個警告Web 2.0及JavaScript具有安全風險的資安業者。SPI Dynamics在上個月的ShmooCon駭客會議中便曾表示駭客很容易就能結合JavaScipt、AJAX 等網站技術進行強力攻擊，當時SPI Dynamics研究人員Billy Hoffman並展示了 JavaScript所開發的Jikto漏洞偵測工具，它可偵測網站或線上應用程式的漏洞，以竊取使用者資訊或進一步針對漏洞進行攻擊。當時，Billy Hoffman說他將不會公布Jikto程式碼，以免被有心人士濫用。不過，有一資訊安全顧問Schroll卻記下了含有Jikto程式碼的網址，找到該程式，並且將它公布在自己的網站上，即使該程式已在Billy Hoffman的要求下移除，但估計已被下載了100次，同時已現身在其他網站上。目前尚未有資安業者揭露任何採用Jikto程式進行攻擊的例子。對於程式被揭露，Billy Hoffman認為，即使駭客未取得Jikto程式碼，也可能在幾個月內開發出類似的程式。（編譯/陳曉莉） http://www.ithome.com.tw/itadm/article.php?c=42781 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 134.208.2.124