安全研究人員已經(jīng)發(fā)現(xiàn)一種利用JavaScript掃描家庭和企業(yè)網(wǎng)絡(luò),并攻擊網(wǎng)絡(luò)上服務(wù)器,以及路由器和打印機(jī)等設(shè)備的方法。
研究人員表示,惡意JavaScript代碼能夠被嵌入在一個(gè)Web 網(wǎng)頁上,使用瀏覽器瀏覽該網(wǎng)頁時(shí),惡意代碼就會(huì)在沒有任何警告的情況下運(yùn)行。他們說,由于通過瀏覽器運(yùn)行,這種惡意代碼能夠繞過防火墻等安全設(shè)施。
Web 安全專業(yè)廠商SPI Dynamics的首席工程師霍夫曼說,我們已經(jīng)發(fā)現(xiàn)一種技術(shù),能夠掃描一個(gè)網(wǎng)絡(luò)、監(jiān)視所有具有Web 功能的設(shè)備、向這些設(shè)備發(fā)送惡意攻擊代碼或命令的方法。它能夠?qū)μ幱诜阑饓ΡWo(hù)下的網(wǎng)絡(luò)進(jìn)行掃描。
成功的攻擊會(huì)造成重大影響。例如,它能夠掃描家庭網(wǎng)絡(luò)、探查路由器模式,然后發(fā)送命令開啟無線網(wǎng)絡(luò),并關(guān)閉所有加密措施。它還會(huì)監(jiān)視一個(gè)企業(yè)網(wǎng)絡(luò),針對網(wǎng)絡(luò)上的服務(wù)器發(fā)動(dòng)攻擊。WhiteHat Security 的技術(shù)總監(jiān)格羅斯曼表示,用戶的瀏覽器可以用來攻擊內(nèi)部網(wǎng)絡(luò)。
JavaScript問世已經(jīng)有10年了,主要被用于Web 網(wǎng)站上,受AJAX等編程技術(shù)的影響,最近它越來越火了。AJAX在安全方面也有缺陷。
Nmap 網(wǎng)絡(luò)端口掃描工具的開發(fā)者費(fèi)奧多說,盡管很長時(shí)間以來黑客利用惡意JavaScript代碼的可能性就一直存在,安全研究人員并沒有對它給予足夠的重視,而是將目光集中在了瀏覽器缺陷上。
費(fèi)奧多表示,SPI Dynamics所發(fā)現(xiàn)缺陷的一個(gè)優(yōu)勢是,要修正它非常困難,因此可能在未來多年內(nèi)得不到解決。
當(dāng)運(yùn)行時(shí),該惡意代碼會(huì)首先確定一臺(tái)PC的內(nèi)部網(wǎng)絡(luò)地址。然后它會(huì)利用標(biāo)準(zhǔn)的JavaScript對象和命令,開始在局域網(wǎng)上搜索服務(wù)器,被搜索的服務(wù)器可能是托管有網(wǎng)頁的計(jì)算機(jī),也可能包括路由器、打印機(jī)、IP電話,以及其它配置有網(wǎng)卡的網(wǎng)絡(luò)設(shè)備。
惡意JavaScript代碼能夠被托管在黑客的網(wǎng)站上,通過利用一個(gè)所謂的跨站點(diǎn)腳本缺陷,它也能夠隱身于用戶信賴的網(wǎng)站。谷歌、微軟、雅虎等巨頭已經(jīng)修正了這一缺陷。
在保護(hù)自己避免受到這種攻擊方面,PC用戶幾乎無能為力。專家指出,保護(hù)服務(wù)器和用戶的安全主要靠網(wǎng)站開發(fā)人員。網(wǎng)站管理人員應(yīng)當(dāng)修正網(wǎng)站中的跨腳本缺陷,并對用戶提交的JavaScript代碼進(jìn)行驗(yàn)證。
格羅斯曼表示,利用惡意JavaScript代碼的攻擊還不普遍。他說,JavaScript惡意代碼還處于發(fā)展的早期,人們對它還缺乏足夠的了解。我們未來會(huì)看到越來越多的類似攻擊。(e129)
