网路安全业者展示Javascript攻击程式 文/陈晓莉 (编译) 2007-03-26 为了让各界了解Javascript网站及应用程式的漏洞可能会造成严重的安全问题，安全业者 展示了Javascript的攻击。 在以使用者应用为主的Web 2.0概念兴起後，专门用来撰写网路服务的Javascript及AJAX 程式语言也随之大行其道，但网路安全业者SPI Dynamics在上周六（3/24）举行的 ShmooCon骇客会议中展示了Javascript攻击程式，目的是为了让各界了解Javascript网站 及应用程式的漏洞可能会造成严重的安全问题。 SPI Dynamics研究人员Billy Hoffman在部落格中表示，去年以来跨网站描述（ Cross-Site Scripting，XSS）漏洞所造成的损害不断扩大，再加上Javascript的新功能 将能让骇客透过XSS执行更先进的攻击，包括可自我繁殖的XSS+AJAX蠕虫、键盘及滑鼠侧 录、侦测连结埠、攻击企业内应用程式，以及窃取搜寻引擎查询或浏览器历史纪录等，这 些种种的恶意程式现在都在骇客的工具箱里头了。 Billy Hoffman指出JavaScript的漏洞出现在各个网站，从知名的线上零售业者到大型的 金融服务网站。 要执行一个跨网站描述攻击，骇客通常是透过一个合法网站的漏洞将恶意程式植入使用者 的浏览器中，之後再存取使用者的个人资料，由於此一攻击是针对网站漏洞，因此使用者 几乎是无计可施，除非使用者关闭浏览器中的JavaScript功能，否则还是得依赖业者维护 其网站安全。 为了证明所言不假，Billy Hoffman展示了用JavaScript所开发的Jikto漏洞侦测工具，它 可侦测网站或线上应用程式的漏洞，还能载入使用者浏览器中，并搜集使用者电脑中的资 料，再将这些漏洞及个人资料回传到骇客手中。 Billy Hoffman说该公司并不会公布Jikto程式码，以避免被滥用，此一程式只是为了让网 站开发及管理人员了解，骇客很容易就能结合JavaScipt、AJAX或其他网站技术进行强力 攻击。（编译/陈晓莉） http://www.ithome.com.tw/itadm/article.php?c=42630 --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 134.208.2.124