JavaScript可能會成為目前新的駭客攻擊點

隨著Web 2.0的發展,網際網路的互動性已經越來越強,不過據IT安全公司Radware安全運營中心主管Itzik Kotler的警告。JavaScript可能會成為新的駭客攻擊點。

Kotler除了為Radware掃瞄軟體開發新的簽名和分析工具之外,也在尋找新類別的安全漏洞。據他發現,使用JavaScript中的一個安全漏洞,可以使駭客從客戶電腦拷貝走文件而不容易被檢測到。

在本週倫敦進行的RSA安全會議上,Kotler演示了這種駭客方法,他同時展示了如何通過在瀏覽器中執行HTML代碼來檢測防病毒軟體的存在。

Kotler表示,這種新的攻擊方法所具有的兩種優勢將引起攻擊者群體的注意:
一、這種方法不容易被檢測;
二、可以跨平台跨瀏覽器。

他得出的結論是,雖然這種攻擊方法尚未被駭客採用,不過瀏覽器廠商和安全公司必須確保瀏覽器在更加靈活的同時不給駭客打開後門。

這次在台灣舉辦的2008 OWASP亞洲資安年會亦有相關的演講,例如OWASP台灣分會會長、同時也是安全廠商阿碼科技執行長黃耀文就以網站掛馬為主題,探討Javascript攻擊特性,並指出這類攻擊由於變形迅速、因此難以完全監控的特性。

Javascript議題早早已經引起各方資安專家研究,並積極想尋求完善的解決方法,但至今尚無法能做到兩全其美的辦法,我們也只能繼續等待,小心上網嘍!有興趣的朋友可參考甲胖之前的文章,使用Firefox且加掛Noscript套件,不能說是百分百能達到完美的保護,但它是無形中為您把關的另一道安全門。

相關文章:
Web 2.0: Attack of the JavaScript malware
Firefox + NoScript 防堵Clickjacking漏洞,讓您上網瀏覽更安全
2008 OWASP亞洲資安年會

隨機文章


0 意見:

張貼留言