網路安全業者展示Javascript攻擊程式 文/陳曉莉 (編譯) 2007-03-26 為了讓各界暸解Javascript網站及應用程式的漏洞可能會造成嚴重的安全問題，安全業者 展示了Javascript的攻擊。 在以使用者應用為主的Web 2.0概念興起後，專門用來撰寫網路服務的Javascript及AJAX 程式語言也隨之大行其道，但網路安全業者SPI Dynamics在上周六（3/24）舉行的 ShmooCon駭客會議中展示了Javascript攻擊程式，目的是為了讓各界暸解Javascript網站 及應用程式的漏洞可能會造成嚴重的安全問題。 SPI Dynamics研究人員Billy Hoffman在部落格中表示，去年以來跨網站描述（ Cross-Site Scripting，XSS）漏洞所造成的損害不斷擴大，再加上Javascript的新功能 將能讓駭客透過XSS執行更先進的攻擊，包括可自我繁殖的XSS+AJAX蠕蟲、鍵盤及滑鼠側 錄、偵測連結埠、攻擊企業內應用程式，以及竊取搜尋引擎查詢或瀏覽器歷史紀錄等，這 些種種的惡意程式現在都在駭客的工具箱裡頭了。 Billy Hoffman指出JavaScript的漏洞出現在各個網站，從知名的線上零售業者到大型的 金融服務網站。 要執行一個跨網站描述攻擊，駭客通常是透過一個合法網站的漏洞將惡意程式植入使用者 的瀏覽器中，之後再存取使用者的個人資料，由於此一攻擊是針對網站漏洞，因此使用者 幾乎是無計可施，除非使用者關閉瀏覽器中的JavaScript功能，否則還是得依賴業者維護 其網站安全。 為了證明所言不假，Billy Hoffman展示了用JavaScript所開發的Jikto漏洞偵測工具，它 可偵測網站或線上應用程式的漏洞，還能載入使用者瀏覽器中，並搜集使用者電腦中的資 料，再將這些漏洞及個人資料回傳到駭客手中。 Billy Hoffman說該公司並不會公布Jikto程式碼，以避免被濫用，此一程式只是為了讓網 站開發及管理人員了解，駭客很容易就能結合JavaScipt、AJAX或其他網站技術進行強力 攻擊。（編譯/陳曉莉） http://www.ithome.com.tw/itadm/article.php?c=42630 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 134.208.2.124