这种方法是利用称为Jikto的新工具为之。它用JavaScript写成、可让使用者得以找出网站的漏洞,Web安全厂商SPI Dynamics研究人员Billy Hoffman说。Hoffman开发出这种工具是用来强化Web安全,本来计划在ShmooCon黑客会议中公布。
“这可望大幅改变JavaScript所能做的坏事,”Hoffman说。“Jikto让任何一台PC变成一架小型无人轰炸机,你的PC可以帮我去攻击网站,向我回报执行结果。”
随着在线应用的进步,黑客对Web安全漏洞的兴趣愈来愈浓。虽然一些漏洞像是跨网站指令码(cross-site scripting)攻击与数据隐码(SQL injection)漏洞已存在多年,但此类安全问题近来被利用与报
道的情况才逐渐增高。
Jikto是一种Web应用漏洞的扫瞄工具,它能偷偷“爬”网站检核安全程度,再把结果传送到第三方单位处。Jikto也可以嵌入到攻击者的网站上或注入到受信赖的网站,检查是不是称为跨网站指令码
(cross-site scripting)的安全漏洞。
漏洞扫瞄工具也不是新东西。黑客经常利用此类工具找出有机可乘的漏洞。Jikto有点像是广流传于黑客间的漏洞扫瞄工具Nikto,差别在于Nikto是传统PC应用,而Jikto则是执行在浏览器环境下,可以抓虫任务分配到多台PC上执行。
Jikto可抓到常见的安全漏洞,而且能链回控制者等待该攻击哪个网站与寻找何种漏洞的指令,Hoffman说。例如它可以受命扫瞄银行网站有无SQL隐码工具。此类漏洞往往导致数据库门户洞开的严重攻击。
“多半黑客行为是搜集、分类资料。攻击者把这项工作分配给许多人,”Hoffman说。更好的是,由于网站是被刚好上到某个含有Jikto的网站的倒霉使用者所刺探,因此目标网站根本无从得知攻击者的身份为何。
Jikto还显示JavaScript被滥用的结果,但用传统漏洞扫除工具或许还更有效一点,Nmap Security Scanner发明人Fyodor Vaskovich说。这种工具是安全社群常用来找出漏洞所在。
和从已知受骇机器上扫瞄的攻击者相比,此类JavaScript攻击通常速度慢上许多。把攻击者隐藏起来或把扫瞄任务散布出去当然有其作用,但其实攻击者不被抓到方法多得很,不然用一连串的代理服务器也可以。
由于Jikto是以JavaScript写成,因此它能在多数浏览器上执行,使用者也不会得到任何警告。链到嵌入Jikto网页的网络使用者甚至从头到尾都不知情。只要浏览器一打开该工具就可以执行,消失也不
会留下任何明显痕迹。
Jikto和常用以控制PC进行攻击的傀儡虫(bot)多所不同。一般而言,傀儡虫会从浏览器安全漏洞或含有木马的邮件入侵PC。只有浏览器定期安装修补程序,养成良好邮件使用习惯及更新安全软件的话,一般就可以免于傀儡虫的威胁。
“但使用者对Jikto或JavaScript的威胁可能就束手无策,”Hoffman说。“我不用在你PC上种木马或后门程序,也不用真正入侵你的计算机,这样才恐怖,杀毒软件也无济于事。”
随着Web 2.0的兴起,JavaScript因逐渐打破网站的功能限制而扮演要角。但安全专家指出,恶意、特别是结合愈来愈普遍的网站安全漏洞的JavaScript,将可发动令人防不胜防的Web攻击。
Jikto目前只会爬出网站漏洞。Hoffman正在开发的新版中则可入侵漏洞并搜集资料。新版本会在今年夏天举行的黑帽安全会议上发表,他说。