JavaScript ugrabljanje

Matej Kovačič

5. apr 2007 ob 07:55:40

Kot kaže se nam v bližnji prihodnosti obeta precejšnje število varnostnih težav povezanih z JavaScriptom. V članku JavaScript Hijacking, objavljenem na spletni strani podjetja Fortify Software so namreč trije raziskovalci opisali nov način napada na Ajax spletne aplikacije.

Napad namreč omogoča napadalcu, da prestreže podatke, ki se prenašajo s pomočjo JavaScripta. Prestrezanje je mogoče izvesti s pomočjo tim. JavaScript ugrabljanja (JavaScript hijacking), ki je mogoče zaradi različnih XSS ranljivosti.

Prav tako v našem forumu že poročajo, da se je na internetu znašla koda aplikacije Jitko, ki omogoča samodejno vzpostavitev prikritega omrežja s pomočjo izkoriščanja XSS ranljivosti in JavaScripta. Aplikacijo je na konferenci Smoocon prejšnji mesec predstavil Billy Hoffman, eden izdmed udeležencev konference pa si je zapomnil URL omenjene kode in si kodo presnel ter jo objavil na internetu. Kodo je sicer na zahtevo Hoffmana že umaknil, kljub temu pa jo je mogoče dobiti v podzemlju. Po nekaterih podatkih so na voljo že tudi zlobno modificirane različice, zato previdnost ni odveč.