資安業者展示JavaScript綁架漏洞 文/陳曉莉 (編譯) 2007-04-03 所謂的JavaScript Hijacking是讓駭客能夠以使用者的身份存取Web 2.0應用程式，同時 駭客也能讀取使用JavaScript的瀏覽器與應用程式間所傳輸的機密資料。 資安業者Fortify在周一（4/2）發表一份文件，讓企業了解如何修補Web 2.0及AJAX軟體 中的重要漏洞。 這是因為Fortify發現了一JavaScript 綁架（Hijacking）漏洞，可讓駭客劫持使用者的 瀏覽器並且竊取機密資料。Fortify先針對12個著名的AJAX架構進行分析，發現大多數的 AJAX架構並未提供任何的保護，而且也未註明任何安全議題。 Fortify所分析的AJAX架構涵蓋Google、微軟及Yahoo所提供的AJAX或Web工具包等，結果 僅有Direct Web Remoting （DWR） 2.0能夠預防JavaScript Hijacking。 所謂的JavaScript Hijacking是讓駭客能夠以使用者的身份存取Web 2.0應用程式，同時 駭客也能讀取使用JavaScript的瀏覽器與應用程式間所傳輸的機密資料，因此駭客就能夠 進行商品買賣、股票交易，還能更改企業網路的安全設定，甚至進一步存取或處理企業的 客戶、庫存與財務資訊。 標榜能夠很快建置可迅速存取資料、強化應用程式效能及促進合作的Web 2.0逐漸成為主 流，Fortify引用McKinsey的研究報告指出，約有75%的企業計畫增加對Web 2.0技術的投 資，而最喜歡採用Web 2.0技術的產業為零售業、高科技產業、電信業、金融業及醫藥產 業等。 不過，Fortify共同創辦人Brian Chess指出，這也顯示出Web 2.0的安全愈來愈重要，而 且，這並不像一般在應用程式或作業系統中出現的漏洞，沒有任何單一的銷售商可以解決 此漏洞，因此該公司才必須透過文件讓軟體開發人員了解Web 2.0所帶來的風險。 這並不是市場上第一個警告Web 2.0及JavaScript具有安全風險的資安業者。SPI Dynamics在上個月的ShmooCon駭客會議中便曾表示駭客很容易就能結合JavaScipt、AJAX 等網站技術進行強力攻擊，當時SPI Dynamics研究人員Billy Hoffman並展示了 JavaScript所開發的Jikto漏洞偵測工具，它可偵測網站或線上應用程式的漏洞，以竊取 使用者資訊或進一步針對漏洞進行攻擊。 當時，Billy Hoffman說他將不會公布Jikto程式碼，以免被有心人士濫用。不過，有一資 訊安全顧問Schroll卻記下了含有Jikto程式碼的網址，找到該程式，並且將它公布在自己 的網站上，即使該程式已在Billy Hoffman的要求下移除，但估計已被下載了100次，同時 已現身在其他網站上。 目前尚未有資安業者揭露任何採用Jikto程式進行攻擊的例子。對於程式被揭露，Billy Hoffman認為，即使駭客未取得Jikto程式碼，也可能在幾個月內開發出類似的程式。（編 譯/陳曉莉） http://www.ithome.com.tw/itadm/article.php?c=42781 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 134.208.2.124