 |
25.04.2007 03:20 |
| |
JavaScript становится все опаснее |
 |
Кроме демонстративного взлома MacBook Pro, на ванкуверской конференции CanSecWest обсуждался вопрос вредоносности JavaScript, поскольку хакеры начинают обращаться к нему все чаще и чаще по мере роста Web 2.0 ресурсов, неотъемлемыми атрибутами которых являются объекты, построенные на этой технологии. Представитель от Arbor Networks, Хосе Назарио (Jose Nazario) говорит, что вредоносные сценарии для JavaScript сейчас очень просто замаскировать. Старший инженер безопасности рассказал, что текст сценария можно разбить на компоненты, затем следует шифрование и специально добавляют лишние команды. Иногда в сценарий прописываются команды для затруднения отладки и запуска виртуальных машин. Атакующие могут уничтожать предупреждения и все виды процедур проверки. Часто они даже ограничивают возможность загрузки сценария определёнными IP-адресами -, комментирует Назарио. Первые предупреждения о возможности использования JavaScript в качестве эксплоита поступали еще пару лет назад. Напомним, что в 2005 году подобный червь ползал по MySpace. А к 2006 году, написание умышленных вредоносных кодов на JavaScript и AJAX стало на коммерческую стезю. В феврале этого года компания по IT-безопасности Websense локализовала на сайте стадиона Dolphin троянский код, внедренный в JavaScript. На главной странице веб-сайта был встроен код, который заражал компьютеры, вместо стандартной операции замены текста. Расследование привело к тому, что было установлено порядка 10 сайтов, которые точно так же заражены встроенным Трояном. Билли Хоффман (Billy Hoffman), который тоже занимается исследованиями в области компьютерной безопасности представил сценарий для ботнета (он получил название Jikto), который был написан на JavaScript и работал через веб-браузер. В свете всех прецедентов, исследователи убеждены, что количество эксплоитов на JavaScript будет увелчиваться.
|
|
|
Навигация по порталу: 
