令人不安的JavaScript
Web2.0广泛采用JavaScript动态语言,通过Ajax编程,JavaScript能提供Web应用和单个用户之间的互动。但JavaScript和Ajax也给网站攻击者带来诸多新的可能性。
一年前,Yamanner蠕虫轻易地攻击了Yahoo Mail的一个JavaScript漏洞,使病毒在互联网上迅速传播开来,并把用户地址本里的邮件地址都转发给垃圾邮件制造者。MySpace用JavaScript允许用户提交内容,发生了多次使用恶意代码把跨站攻击脚本植入MySpace账户页面并传染给访问者计算机的事件。有人就把信息“Sammy是我的大英雄”植入到了数以千计的MySpace页面里。
为了评估未来的JavaScript风险可考虑使用Jikto,这是SPI Dynamics 的首席研究员比利·霍夫曼(Billy Hoffman)5月24日在ShmoozCon黑客大会上演示的一个跨站攻击脚本引擎。
JavaScript有一套内建的安全模式,叫“同一来源”,即JavaScript只能访问或操作与其来源同一站点上的页面内容,不是来自一个站点就不能访问。但用Jikto就可以绕过这一检测机制,它首先把网页内容发送到一个代理站点,如谷歌翻译(Google Translate),这个站点负责把网站内容从一种语言翻译成另一种语言。恶意的Jikto用户可以利用谷歌翻译返回的内容,进行漏洞扫描并进行攻击。Jikto可以利用谷歌翻译或其他代理站点获得返回的页面,一个网站接一个网站地扫描漏洞,同时避开JavaScript安全模型的防护。
JavaScript脚本千变万化,甚至自己就能改变自己,因此常规病毒扫描根本无法检测它们。Yahoo Mail出问题的JavaScript原本用于图片上传,但它可以被恶意利用,因为雅虎(Yahoo)的代码没有检查文件是否确实是张图片。网站上遍布着许多这样的后门。
自从公布了Jikto的风险,霍夫曼就收到不少来自黑客们的邮件,内容大体是“你这下可把我们的乐子全毁了”。企业要做好思想准备,应对黑客们的挑战。
—文/Charles Babcock
|
服 务 CIO 推 进 信 息 化 
