搜狐网站
搜狐 ChinaRen 17173 焦点房地产 搜狗
搜狐数码-搜狐网站
搜狐数码频道 > 软件·下载·安全·信息化 > 病毒与安全 > 漏洞·补丁

JavaScript漏洞扫瞄遭滥用 安全厂商演示危害

  一名安全研究人员展示一款可把不知情网友的PC转变成黑客帮手的工具,但他所属的公司不准他发布这个程序。

  网络安全工具销售商SPI Dynamics的研究员Billy Hoffman上周六展示一款网络应用程序漏洞扫瞄工具。

这个程序以JavaScript编写,称为“Jikto”。

  Hoffman说,用这个程序,可在网络使用者不知不觉的情况下,差遣他的PC无声无息地爬梳、并编辑公共网站,再把结果传给第三方人士。

  Hoffman原本要公开发布这项程序,但后来改变主意。他说:“高层人士原本答应我们发布,但后来他们改变主意。我们决定聚焦于教育倡导,向人们展示潜在的危险。”

  另一名在ShmooCon会上作报告的SPI Dynamics与会代表说,该公司决定不发布Jikto,是因为那可能落入网络恶棍手中。

  SPI Dynamics安全倡导人员Michael Sutton说:“我们不愿意发布可能遭恶意滥用的工具。”

  Hoffman说,他展示Jikto的目的是提高人们的警觉心。他指出,网站中内含的漏洞,可能被利用来植入恶意的JavaScript程序,造成使用者暴露于严重的风险之中。

  例如,Jikto本身就可能因为黑客钻一种常见的网络安全漏洞(跨网站scripting漏洞),而被植入某个受信任的网站。

  他说:“重点是,凸显这种跨网站scripting漏洞已变得多么恐怖。”虽然有些安全厂商表示,这类安全漏洞仍属轻微,但Hoffman希望以实例证明,这些安全漏洞可能相当严重,特别是与JavaScript

  合用的时候。他说:“这是在执行程序代码。JavaScript完全打破这种安全模型。”

  JavaScript是一种scripting网页设计常用的语言,在大多数网页浏览器执行时并不会显示警示。网络使用者点阅内嵌JavaScript的网页时,可能根本不晓得这种程序正在执行。关闭浏览器内的

  JavaScript功能也许有帮助,但通常也会关掉某网站上许多有用的功能。

  Hoffman说,Jikto可搜索常见的安全漏洞,然后跟他的控制者联机,以寻求指示,决定下一步该攻击哪些网站,或搜索哪些安全漏洞。他举例说,Jikto可能经由程序设定,来扫瞄重大银行网站是否有

  潜在的SQL安全漏洞,进而可能造成银行的数据库遭到外来攻击。

  ShmooCon与会者向Hoffman索取Jikto程序代码,但当SPI Dynamics表示不对外发布时,他们也似乎不太失望。

  某个ShmooCon参与者说:“一旦有人谈论能这么做,不久后,就一定有另一个人写出程序来。”  

(责任编辑:韩建光)

相关新闻

用户:  匿名  隐藏地址  设为辩论话题

*搜狗拼音输入法,中文处理专家>>

我要发布Sogou推广服务

新闻 网页 博客 音乐 图片 说吧  
央视质疑29岁市长 邓玉娇失踪 朝鲜军事演习 日本兵赎罪
石首网站被黑 篡改温总讲话 夏日减肥秘方 日本瘦脸法
宋美龄牛奶洗澡 中共卧底结局 慈禧不快乐 侵略中国报告



搜狐博客更多>>

·怀念丁聪:我以为那个老头永远不老
·爱历史|年轻时代的毛泽东(组图)
·曾鹏宇|雷人!我在绝对唱响做评委
·爱历史|1977年华国锋视察大庆油田
·韩浩月|批评余秋雨是侮辱中国人?
·荣林|广州珠海桥事件:被推下的是谁
·朱顺忠|如何把贪官关进笼子里
·张原|杭州飙车案中父亲角色的缺失
·蔡天新|奥数本身并不是坏事(图)
·王攀|副县长之女施暴的卫生巾疑虑

热点标签:奥运 珠峰 福娃 母亲节 印花税 火炬 日本 赵薇 外遇 股票 金晶 陈冠希 谢霆锋 CNN 中国足球 张柏芝 姚明

说 吧更多>>

说 吧 排 行

茶 余 饭 后更多>>