[情報] 資安業者展示JavaScript綁架漏洞

看板Ajax作者 (Kurosagi.)時間17年前 (2007/04/03 15:51), 編輯推噓2(201)
留言3則, 2人參與, 最新討論串1/2 (看更多)
資安業者展示JavaScript綁架漏洞 文/陳曉莉 (編譯) 2007-04-03 所謂的JavaScript Hijacking是讓駭客能夠以使用者的身份存取Web 2.0應用程式,同時 駭客也能讀取使用JavaScript的瀏覽器與應用程式間所傳輸的機密資料。 資安業者Fortify在周一(4/2)發表一份文件,讓企業了解如何修補Web 2.0及AJAX軟體 中的重要漏洞。 這是因為Fortify發現了一JavaScript 綁架(Hijacking)漏洞,可讓駭客劫持使用者的 瀏覽器並且竊取機密資料。Fortify先針對12個著名的AJAX架構進行分析,發現大多數的 AJAX架構並未提供任何的保護,而且也未註明任何安全議題。 Fortify所分析的AJAX架構涵蓋Google、微軟及Yahoo所提供的AJAX或Web工具包等,結果 僅有Direct Web Remoting (DWR) 2.0能夠預防JavaScript Hijacking。 所謂的JavaScript Hijacking是讓駭客能夠以使用者的身份存取Web 2.0應用程式,同時 駭客也能讀取使用JavaScript的瀏覽器與應用程式間所傳輸的機密資料,因此駭客就能夠 進行商品買賣、股票交易,還能更改企業網路的安全設定,甚至進一步存取或處理企業的 客戶、庫存與財務資訊。 標榜能夠很快建置可迅速存取資料、強化應用程式效能及促進合作的Web 2.0逐漸成為主 流,Fortify引用McKinsey的研究報告指出,約有75%的企業計畫增加對Web 2.0技術的投 資,而最喜歡採用Web 2.0技術的產業為零售業、高科技產業、電信業、金融業及醫藥產 業等。 不過,Fortify共同創辦人Brian Chess指出,這也顯示出Web 2.0的安全愈來愈重要,而 且,這並不像一般在應用程式或作業系統中出現的漏洞,沒有任何單一的銷售商可以解決 此漏洞,因此該公司才必須透過文件讓軟體開發人員了解Web 2.0所帶來的風險。 這並不是市場上第一個警告Web 2.0及JavaScript具有安全風險的資安業者。SPI Dynamics在上個月的ShmooCon駭客會議中便曾表示駭客很容易就能結合JavaScipt、AJAX 等網站技術進行強力攻擊,當時SPI Dynamics研究人員Billy Hoffman並展示了 JavaScript所開發的Jikto漏洞偵測工具,它可偵測網站或線上應用程式的漏洞,以竊取 使用者資訊或進一步針對漏洞進行攻擊。 當時,Billy Hoffman說他將不會公布Jikto程式碼,以免被有心人士濫用。不過,有一資 訊安全顧問Schroll卻記下了含有Jikto程式碼的網址,找到該程式,並且將它公布在自己 的網站上,即使該程式已在Billy Hoffman的要求下移除,但估計已被下載了100次,同時 已現身在其他網站上。 目前尚未有資安業者揭露任何採用Jikto程式進行攻擊的例子。對於程式被揭露,Billy Hoffman認為,即使駭客未取得Jikto程式碼,也可能在幾個月內開發出類似的程式。(編 譯/陳曉莉) http://www.ithome.com.tw/itadm/article.php?c=42781 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 134.208.2.124

04/03 17:35, , 1F
Fortify SCA超強的, 可惜很貴
04/03 17:35, 1F

04/04 14:30, , 2F
有高手可以說明一下是怎麼綁架的嗎.
04/04 14:30, 2F

04/04 14:31, , 3F
要不然要怎麼防止這類漏洞發生
04/04 14:31, 3F
文章代碼(AID): #164WUNnv (Ajax)
文章代碼(AID): #164WUNnv (Ajax)