-
На конференции CanSecWest обсудили опасности JavaScript
По мере роста важности технологии JavaScript для веб-сайтов и применения её в веб-страницах web 2.0 с интерактивными элементами, хакеры обращают на этот язык сценариев более пристальное внимание. Об опасностях, связанных с JavaScript, говорили специалисты ИТ-безопасности на конференции CanSecWest в среду.
Вредоносные сценарии на JavaScript тщательно скрывают, говорит старший инженер безопасности Arbor Networks Хосе Назарио (Jose Nazario). Текст сценария разбивают на множество компонентов, шифруют, разбавляют мусорными командами. Некоторые сценарии даже дополняют функциями, затрудняющими отладку или запуск в виртуальных машинах. «Атакующие могут уничтожать предупреждения и все виды процедур проверки. Часто они даже ограничивают возможность загрузки сценария определёнными IP-адресами». К примеру, антивирусные компании, попавшие на вредоносный сайт, могут получить пустую страницу, в то время как обычный пользователь — эксплойт.
Исследователи ещё несколько лет назад предупреждали о будущих червях, которые смогут распространяться через онлайновые профили пользователей при помощи сценариев на JavaScript. В 2005 году такой червь появился на MySpace. В прошлом году написание вредоносного кода на JavaScript и AJAX перешло из разряда исследовательской работы в коммерческую. В феврале компания ИТ-безопасности Websense обнаружила, что веб-сайт стадиона Dolphin был заражен троянским кодом на JavaScript: вместо обычной замены текста на главной странице злоумышленники встроили туда незаметный вредоносный код. Дальнейшее исследование показало, что таким образом уже были заражены десятки сайтов. А в марте исследователь безопасности Билли Хоффман (Billy Hoffman) продемонстрировал сценарий для ботнета, Jikto, написанный на JavaScript и работающий через браузер.
Большинство экспертов, посетивших конференцию, сошлись во мнении, что количество угроз с использованием JavaScript будет со временем нарастать.
securitylab.ru
Left home for a few days and look what happens...
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Поздновато спохватились, если с такой скоростью реагировать на новые угрозы.. то смысла в борьбе против них вообще невижу..
The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
"Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)
-
Ответить с цитированием
