JavaScript漏洞扫瞄遭滥用 安全厂商演示危害

一名安全研究人员展示一款可把不知情网友的PC转变成黑客帮手的工具，但他所属的公司不准他发布这个程序。
网络安全工具销售商SPI Dynamics的研究员Billy Hoffman上周六展示一款网络应用程序漏洞扫瞄工具。这个程序以JavaScript编写，称为“Jikto”。

Hoffman说，用这个程序，可在网络使用者不知不觉的情况下，差遣他的PC无声无息地爬梳、并编辑公共网站，再把结果传给第三方人士。

Hoffman原本要公开发布这项程序，但后来改变主意。他说：“高层人士原本答应我们发布，但后来他们改变主意。我们决定聚焦于教育倡导，向人们展示潜在的危险。”

另一名在ShmooCon会上作报告的SPI Dynamics与会代表说，该公司决定不发布Jikto，是因为那可能落入网络恶棍手中。

SPI Dynamics安全倡导人员Michael Sutton说：“我们不愿意发布可能遭恶意滥用的工具。”

Hoffman说，他展示Jikto的目的是提高人们的警觉心。他指出，网站中内含的漏洞，可能被利用来植入恶意的JavaScript程序，造成使用者暴露于严重的风险之中。

例如，Jikto本身就可能因为黑客钻一种常见的网络安全漏洞(跨网站scripting漏洞)，而被植入某个受信任的网站。

他说：“重点是，凸显这种跨网站scripting漏洞已变得多么恐怖。”虽然有些安全厂商表示，这类安全漏洞仍属轻微，但Hoffman希望以实例证明，这些安全漏洞可能相当严重，特别是与JavaScript
合用的时候。他说：“这是在执行程序代码。JavaScript完全打破这种安全模型。”

JavaScript是一种scripting网页设计常用的语言，在大多数网页浏览器执行时并不会显示警示。网络使用者点阅内嵌JavaScript的网页时，可能根本不晓得这种程序正在执行。关闭浏览器内的
JavaScript功能也许有帮助，但通常也会关掉某网站上许多有用的功能。

Hoffman说，Jikto可搜索常见的安全漏洞，然后跟他的控制者联机，以寻求指示，决定下一步该攻击哪些网站，或搜索哪些安全漏洞。他举例说，Jikto可能经由程序设定，来扫瞄重大银行网站是否有
潜在的SQL安全漏洞，进而可能造成银行的数据库遭到外来攻击。

ShmooCon与会者向Hoffman索取Jikto程序代码，但当SPI Dynamics表示不对外发布时，他们也似乎不太失望。

某个ShmooCon参与者说：“一旦有人谈论能这么做，不久后，就一定有另一个人写出程序来。”