神武八荒一颗小说,盗墓笔记小说下载,懒人听书

Google | Yahoo! | FaceBook |

首頁 > 知識庫 > JavaScript開啟瀏覽器攻擊之門
分享
JavaScript開啟瀏覽器攻擊之門

資安研究員發(fā)現(xiàn)一種方法，可用利JavaScript取得家庭網(wǎng)路或企業(yè)網(wǎng)路的映像(map)，進(jìn)而對所有連線的伺服器或印表機(jī)、路由器等裝置發(fā)動攻擊。

資安研究員指出，這種惡意的JavaScript可嵌入網(wǎng)頁，在使用者以普通瀏覽器讀取網(wǎng)頁時毫無預(yù)警地執(zhí)行，連防火牆等安全防護(hù)措施也拿它沒輒，因為此惡意程式是透過瀏覽器執(zhí)行。

網(wǎng)路安全專業(yè)公司SPI Dynamics的首席工程師Billy Hoffman說：「我們已發(fā)現(xiàn)一種掃瞄網(wǎng)路的手法，可把測得的網(wǎng)路連線裝置統(tǒng)統(tǒng)加以指紋特徵辨識(fingerprint)，再對這些裝置發(fā)出攻擊或指令。這種手法可掃瞄有防火牆保護(hù)的網(wǎng)路，例如企業(yè)內(nèi)部的網(wǎng)路。」

這類攻擊如果得逞，影響甚大。Hoffman舉例說，惡意程式可能掃瞄整個家庭網(wǎng)路，偵測路由器的機(jī)型，然後傳指令給路由器，以啟動無線連網(wǎng)並且把加密功能全部關(guān)閉。也可取得企業(yè)網(wǎng)路的映像，然後對伺服器發(fā)動攻擊，讓攻擊顯得像是內(nèi)部員工所為似的。

網(wǎng)路應(yīng)用資安公司W(wǎng)hiteHat Security的技術(shù)長Jeremiah Grossman說：「你的瀏覽器可能被用來入侵內(nèi)部網(wǎng)路。」他說，SPI Dynamics和WhiteHat Security大約在同一時間發(fā)現(xiàn)這種JavaScript式的網(wǎng)路掃瞄程式，兩家公司打算本周在啦斯維加斯舉行的Black Hat安全會議中討論此事。

JavaScript、AJAX與WWW

JavaScript已問世十年左右。這種script程式語言用於網(wǎng)站，近年來隨著AJAX程式技巧的風(fēng)行，使用率日益普及。AJAX的全名是「非同步JavaScript與XML」(Asynchronous JavaScript and XML)，可提升網(wǎng)站的互動性，但AJAX也有安全上的陷阱。

惡意JavaScript恐怕存在已久，只是資安研究員不大重視，淨(jìng)是集中注意力抓網(wǎng)頁瀏覽器的安全漏洞。

Nmap網(wǎng)路掃瞄工具發(fā)明人Fyodor Vaskovich說：「以前，探究這種side-channel型攻擊的動機(jī)不強(qiáng)。但SPI Dynamics弱點(diǎn)的一大優(yōu)勢是很難修補(bǔ)，否則可能破壞許多網(wǎng)路應(yīng)用程式。所以，此弱點(diǎn)可能久久未能根除?！?

他說，以前也有人試著用JavaScript編寫網(wǎng)路掃瞄程式，但功能都不像SPI Dynamics的範(fàn)本這麼先進(jìn)。SPI Dynamics找出高明的攻擊手法，且有紮實的示範(fàn)支持，是一大功勞。他們藉檢查預(yù)設(shè)映像路徑與名稱辨識伺服器的方法，實在很高桿?！?

執(zhí)行時，JavaScript會先判斷PC在內(nèi)部網(wǎng)路的位址，然後用標(biāo)準(zhǔn)的JavaScript物件和指令，開始掃瞄與網(wǎng)路伺服器連線的區(qū)域網(wǎng)路。這些網(wǎng)頁伺服器可能是用來伺服網(wǎng)頁的電腦，但也可能包含路由器、印表機(jī)IP電話等連網(wǎng)裝置，或是具有網(wǎng)路介面的應(yīng)用程式。

主機(jī)發(fā)出的ping

SPI Dynamics paper解釋，JavaScript掃瞄器先用JavaScript「映像」(image)物件傳出偵測(ping)訊息，以判斷某個網(wǎng)際網(wǎng)路協(xié)定（IP）位址是否有相對應(yīng)的電腦。接下來，再檢查儲存在標(biāo)準(zhǔn)路徑的檔案、回傳的資料流量以及錯誤訊息，據(jù)以判斷哪些伺服器正在執(zhí)行。

惡意的JavaScript可能是寄身在駭客的網(wǎng)站，但若是利用一種稱為「網(wǎng)站交叉scripting」的常見安全漏洞，也可能透過受信賴的網(wǎng)站發(fā)動攻擊。知名的大型網(wǎng)路公司如Google、微軟和eBay等，都尚未修補(bǔ)這些安全漏洞。上周，AOL的網(wǎng)景網(wǎng)站(Netscape.com)就修補(bǔ)這類安全漏洞，以免對手Digg.com的粉絲在網(wǎng)景網(wǎng)站植入JavaScript程式。

Grossman預(yù)定在BlackHat會議上示範(fàn)一次攻擊。他說：「我們會示範(fàn)如何取得內(nèi)部的IP位址，如何掃瞄內(nèi)部網(wǎng)路，如何作指紋辨識，和如何進(jìn)入DSL路由器。用瀏覽器攻擊內(nèi)部網(wǎng)路(intranet)，可讓我們完全控制瀏覽器。」

就防護(hù)措施而言，PC使用者可說是束手無策。專家說，現(xiàn)在大致上只能靠網(wǎng)站開發(fā)者想辦法，以維護(hù)使用者和伺服器的安全。有些PC安全軟體能偵測惡意的JavaScript，但通常只是攻擊發(fā)生後才偵測得到，因為這些軟體依賴攻擊簽名檔(威脅留下的「指紋」)來攔阻攻擊。

Grossman說：「我們建議的保護(hù)措施，都是針對伺服器方面而言?！顾f，網(wǎng)站管理者應(yīng)該先修補(bǔ)網(wǎng)站交叉scripting的安全漏洞，並確使用者上傳的JavaScript。他說：「使用者可謂完全受制於他們到訪的網(wǎng)站。使用者可關(guān)閉JavaScript，但這不是解決辦法，因為太多網(wǎng)站靠它來運(yùn)作?！?

此外，若是懷疑某個網(wǎng)站怪怪的，不妨換個網(wǎng)頁瀏覽，或關(guān)閉瀏覽器，這樣也可能有助於攔阻惡意的JavaScript。

目前為止，這類攻擊還不普遍。Grossman說：「JavaScript惡意程式仍是尖端技術(shù)，就像早期的電子郵件病毒一樣，能拿它來搞什麼鬼，現(xiàn)在還不得而知。我認(rèn)為，以後會有更多的攻擊事件浮上檯面?！梗?

資訊安全 門禁工程 CCTV監(jiān)控工程 網(wǎng)路工程 PLC自動控制 門禁系統(tǒng) 監(jiān)控系統(tǒng) 系統(tǒng)整合 系統(tǒng)規(guī)劃 系統(tǒng)開發(fā) OPC專案

統(tǒng)一編號:29039341 TEL:02-8923-1698 FAX:02-8923-1328 電子郵件:service@hsienyang.com

亚洲无码?一级片_аⅴ资源中文在线天堂_欧洲mv亚洲mv永久入口免费_婷婷五月开心激情_免费超爽大黄在线观看_国产无码午夜不卡_午夜福利视频不卡a_A午夜福利A福利_黄色激情小说另类av_国产尤物精品193