web安全厂商spi dynamics原本不想让一个可将网络上的pc变成黑客帮手的工具外流,但现在这个工具的源代码还是流出去了。
“jikto源代码已经流出去了,”spi研究员billy hoffman周一在博客上写着,“有个叫logicx的家伙拿到备份,之后在shmoocon大会隔天后就直接放到digg上面去了。”
这位仁兄可以拿到源代码是因为hoffman在黑客大会演讲时,显示了jikto放置的网络地址。
“若当时有人很仔细的观察,就可看到jikto源代码的url地址。”hoffman表示。
jikto是一个利用javascript写成的web应用漏洞扫瞄工具,它可暗中监控公开的网站,然后将结果传送给第三方。jikto也可嵌入黑客网站,或利用跨站脚本漏洞来把该程序灌入正当的网站里。
hoffman原本要在shmoocon上公布jikto程序代码,但后来公司高层出面拦阻而作罢。原因则是:jikto可用来当作不肖用途。