据外电报道 安全研究人员已经发现一种利用JavaScript扫描家庭和企业网络,并攻击网络上服务器,以及路由器和打印机等设备的方法。
研究人员表示,恶意JavaScript代码能够被嵌入在一个Web 网页上,使用浏览器浏览该网页时,恶意代码就会在没有任何警告的情况下运行。他们说,由于通过浏览器运行,这种恶意代码能够绕过防火墙等安全设施。
Web 安全专业厂商SPI Dynamics的首席工程师霍夫曼说,我们已经发现一种技术,能够扫描一个网络、监视所有具有Web 功能的设备、向这些设备发送恶意攻击代码或命令的方法。它能够对处于防火墙保护下的网络进行扫描。
成功的攻击会造成重大影响。例如,它能够扫描家庭网络、探查路由器模式,然后发送命令开启无线网络,并关闭所有加密措施。它还会监视一个企业网络,针对网络上的服务器发动攻击。WhiteHat Security 的技术总监格罗斯曼表示,用户的浏览器可以用来攻击内部网络。
JavaScript问世已经有10年了,主要被用于Web 网站上,受AJAX等编程技术的影响,最近它越来越火了。AJAX在安全方面也有缺陷。
Nmap 网络端口扫描工具的开发者费奥多说,尽管很长时间以来黑客利用恶意JavaScript代码的可能性就一直存在,安全研究人员并没有对它给予足够的重视,而是将目光集中在了浏览器缺陷上。
费奥多表示,SPI Dynamics所发现缺陷的一个优势是,要修正它非常困难,因此可能在未来多年内得不到解决。
当运行时,该恶意代码会首先确定一台PC的内部网络地址。然后它会利用标准的JavaScript对象和命令,开始在局域网上搜索服务器,被搜索的服务器可能是托管有网页的计算机,也可能包括路由器、打印机、IP电话,以及其它配置有网卡的网络设备。
恶意JavaScript代码能够被托管在黑客的网站上,通过利用一个所谓的跨站点脚本缺陷,它也能够隐身于用户信赖的网站。谷歌、微软、雅虎等巨头已经修正了这一缺陷。
在保护自己避免受到这种攻击方面,PC用户几乎无能为力。专家指出,保护服务器和用户的安全主要靠网站开发人员。网站管理人员应当修正网站中的跨脚本缺陷,并对用户提交的JavaScript代码进行验证。
格罗斯曼表示,利用恶意JavaScript代码的攻击还不普遍。他说,JavaScript恶意代码还处于发展的早期,人们对它还缺乏足够的了解。我们未来会看到越来越多的类似攻击。
全站资源
- 微软官方入门教程19:轻松掌握Vista系统的快
- 微软2008大冲击,预借Vista SP1力促Vista市
- 在收件箱中获得 Windows Vista 的最新更新
- 微软官方Vista入门教程全集19篇(Vista学院
- Windows Vista 的成功将势不可挡
- 快快抛弃Vista,拥抱XP SP3!你觉得呢?
- 浅谈Vista系统关闭虚拟内存与使用内存盘加速
- 嘿嘿,按下键盘上面的三个键,马上让你的Vi
- Windows Vista的盗版率只有Windows XP的一半
- 3DMark和PCMark Vantage新版将只支持Vista系
阅读排行
- 网页特效:一段实用的图片滚动显示代码
- 网页特效实例:用js获取单选按钮的数据
- Javascript特效:随机显示图片的源代码
- Javascript技术技巧大全
- IE和FireFox下javascript读写XML实现广告轮
- 用 JavaScript 来操作字符串的函数
- 添加到收藏夹的Javascript脚本-适合IE和Fir
- 怎样判断浏览器是否支持javascript?
- JavaScript实现网页图片等比例缩放
- 网页特效:随机显示广告的JS源代码
最新技术文档
- Javascript的一种模块模式
- 控制电脑关机或者重新启动的JS代码
- 特效:在网页中显示可拖动的月历
- 链接中的JS 特效功能代码大放送
- 下拉菜单的简单制作
- 在Javascript中,什么是闭包(Closure)
- IE和FireFox下javascript读写XML实现广告轮
- Javascript数组 sort方法的分析
- Javascript函数 判断数字的合法性
- 如何用javascript控制上传文件的大小
专题教程
- 大话G游 专题:手机病毒揭密
- ARP攻击防范与解决方案 路由故障处理手册
- Picasa中文版_Picasa教程 专题:清除流氓软件
- Firefox专题 seo搜索引擎优化专区
- 重装Windows必知的事情 装机之必备软件大行动
病毒专杀栏