资安业者展示JavaScript绑架漏洞 文/陈晓莉 (编译) 2007-04-03 所谓的JavaScript Hijacking是让骇客能够以使用者的身份存取Web 2.0应用程式，同时 骇客也能读取使用JavaScript的浏览器与应用程式间所传输的机密资料。 资安业者Fortify在周一（4/2）发表一份文件，让企业了解如何修补Web 2.0及AJAX软体 中的重要漏洞。 这是因为Fortify发现了一JavaScript 绑架（Hijacking）漏洞，可让骇客劫持使用者的 浏览器并且窃取机密资料。Fortify先针对12个着名的AJAX架构进行分析，发现大多数的 AJAX架构并未提供任何的保护，而且也未注明任何安全议题。 Fortify所分析的AJAX架构涵盖Google、微软及Yahoo所提供的AJAX或Web工具包等，结果 仅有Direct Web Remoting （DWR） 2.0能够预防JavaScript Hijacking。 所谓的JavaScript Hijacking是让骇客能够以使用者的身份存取Web 2.0应用程式，同时 骇客也能读取使用JavaScript的浏览器与应用程式间所传输的机密资料，因此骇客就能够 进行商品买卖、股票交易，还能更改企业网路的安全设定，甚至进一步存取或处理企业的 客户、库存与财务资讯。 标榜能够很快建置可迅速存取资料、强化应用程式效能及促进合作的Web 2.0逐渐成为主 流，Fortify引用McKinsey的研究报告指出，约有75%的企业计画增加对Web 2.0技术的投 资，而最喜欢采用Web 2.0技术的产业为零售业、高科技产业、电信业、金融业及医药产 业等。 不过，Fortify共同创办人Brian Chess指出，这也显示出Web 2.0的安全愈来愈重要，而 且，这并不像一般在应用程式或作业系统中出现的漏洞，没有任何单一的销售商可以解决 此漏洞，因此该公司才必须透过文件让软体开发人员了解Web 2.0所带来的风险。 这并不是市场上第一个警告Web 2.0及JavaScript具有安全风险的资安业者。SPI Dynamics在上个月的ShmooCon骇客会议中便曾表示骇客很容易就能结合JavaScipt、AJAX 等网站技术进行强力攻击，当时SPI Dynamics研究人员Billy Hoffman并展示了 JavaScript所开发的Jikto漏洞侦测工具，它可侦测网站或线上应用程式的漏洞，以窃取 使用者资讯或进一步针对漏洞进行攻击。 当时，Billy Hoffman说他将不会公布Jikto程式码，以免被有心人士滥用。不过，有一资 讯安全顾问Schroll却记下了含有Jikto程式码的网址，找到该程式，并且将它公布在自己 的网站上，即使该程式已在Billy Hoffman的要求下移除，但估计已被下载了100次，同时 已现身在其他网站上。 目前尚未有资安业者揭露任何采用Jikto程式进行攻击的例子。对於程式被揭露，Billy Hoffman认为，即使骇客未取得Jikto程式码，也可能在几个月内开发出类似的程式。（编 译/陈晓莉） http://www.ithome.com.tw/itadm/article.php?c=42781 --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 134.208.2.124