安全研究人員已經(jīng)發(fā)現(xiàn)一種利用JavaScript掃描家庭和企業(yè)網(wǎng)絡(luò),并攻擊網(wǎng)絡(luò)上服務(wù)器,以及路由器和打印機等設(shè)備的方法。
研究人員表示,惡意JavaScript代碼能夠被嵌入在一個Web 網(wǎng)頁上,使用瀏覽器瀏覽該網(wǎng)頁時,惡意代碼就會在沒有任何警告的情況下運行。他們說,由于通過瀏覽器運行,這種惡意代碼能夠繞過防火墻等安全設(shè)施。
Web 安全專業(yè)廠商SPI Dynamics的首席工程師霍夫曼說,我們已經(jīng)發(fā)現(xiàn)一種技術(shù),能夠掃描一個網(wǎng)絡(luò)、監(jiān)視所有具有Web 功能的設(shè)備、向這些設(shè)備發(fā)送惡意攻擊代碼或命令的方法。它能夠?qū)μ幱诜阑饓ΡWo下的網(wǎng)絡(luò)進行掃描。
成功的攻擊會造成重大影響。例如,它能夠掃描家庭網(wǎng)絡(luò)、探查路由器模式,然后發(fā)送命令開啟無線網(wǎng)絡(luò),并關(guān)閉所有加密措施。它還會監(jiān)視一個企業(yè)網(wǎng)絡(luò),針對網(wǎng)絡(luò)上的服務(wù)器發(fā)動攻擊。WhiteHat Security 的技術(shù)總監(jiān)格羅斯曼表示,用戶的瀏覽器可以用來攻擊內(nèi)部網(wǎng)絡(luò)。
JavaScript問世已經(jīng)有10年了,主要被用于Web 網(wǎng)站上,受AJAX等編程技術(shù)的影響,最近它越來越火了。AJAX在安全方面也有缺陷。
Nmap 網(wǎng)絡(luò)端口掃描工具的開發(fā)者費奧多說,盡管很長時間以來黑客利用惡意JavaScript代碼的可能性就一直存在,安全研究人員并沒有對它給予足夠的重視,而是將目光集中在了瀏覽器缺陷上。
費奧多表示,SPI Dynamics所發(fā)現(xiàn)缺陷的一個優(yōu)勢是,要修正它非常困難,因此可能在未來多年內(nèi)得不到解決。
當(dāng)運行時,該惡意代碼會首先確定一臺PC的內(nèi)部網(wǎng)絡(luò)地址。然后它會利用標(biāo)準(zhǔn)的JavaScript對象和命令,開始在局域網(wǎng)上搜索服務(wù)器,被搜索的服務(wù)器可能是托管有網(wǎng)頁的計算機,也可能包括路由器、打印機、IP電話,以及其它配置有網(wǎng)卡的網(wǎng)絡(luò)設(shè)備。
惡意JavaScript代碼能夠被托管在黑客的網(wǎng)站上,通過利用一個所謂的跨站點腳本缺陷,它也能夠隱身于用戶信賴的網(wǎng)站。谷歌、微軟、雅虎等巨頭已經(jīng)修正了這一缺陷。
在保護自己避免受到這種攻擊方面,PC用戶幾乎無能為力。專家指出,保護服務(wù)器和用戶的安全主要靠網(wǎng)站開發(fā)人員。網(wǎng)站管理人員應(yīng)當(dāng)修正網(wǎng)站中的跨腳本缺陷,并對用戶提交的JavaScript代碼進行驗證。
格羅斯曼表示,利用惡意JavaScript代碼的攻擊還不普遍。他說,JavaScript惡意代碼還處于發(fā)展的早期,人們對它還缺乏足夠的了解。我們未來會看到越來越多的類似攻擊。(e129)
