【IT168 技术文档】令人不安的JavaScript

　　Web2.0广泛采用JavaScript动态语言，通过Ajax编程，JavaScript能提供Web应用和单个用户之间的互动。但JavaScript和Ajax也给网站攻击者带来诸多新的可能性。

　　一年前，Yamanner蠕虫轻易地攻击了Yahoo Mail的一个JavaScript漏洞，使病毒在互联网上迅速传播开来，并把用户地址本里的邮件地址都转发给垃圾邮件制造者。MySpace用JavaScript允许用户提交内容，发生了多次使用恶意代码把跨站攻击脚本植入MySpace账户页面并传染给访问者计算机的事件。有人就把信息“Sammy是我的大英雄”植入到了数以千计的MySpace页面里。

　　为了评估未来的JavaScript风险可考虑使用Jikto，这是SPI Dynamics 的首席研究员比利·霍夫曼(Billy Hoffman)5月24日在ShmoozCon黑客大会上演示的一个跨站攻击脚本引擎。

　　JavaScript有一套内建的安全模式，叫“同一来源”，即JavaScript只能访问或操作与其来源同一站点上的页面内容，不是来自一个站点就不能访问。但用Jikto就可以绕过这一检测机制，它首先把网页内容发送到一个代理站点，如谷歌翻译(Google Translate)，这个站点负责把网站内容从一种语言翻译成另一种语言。恶意的Jikto用户可以利用谷歌翻译返回的内容，进行漏洞扫描并进行攻击。Jikto可以利用谷歌翻译或其他代理站点获得返回的页面，一个网站接一个网站地扫描漏洞，同时避开JavaScript安全模型的防护。

　　JavaScript脚本千变万化，甚至自己就能改变自己，因此常规病毒扫描根本无法检测它们。Yahoo Mail出问题的JavaScript原本用于图片上传，但它可以被恶意利用，因为雅虎(Yahoo)的代码没有检查文件是否确实是张图片。网站上遍布着许多这样的后门。

　　自从公布了Jikto的风险，霍夫曼就收到不少来自黑客们的邮件，内容大体是“你这下可把我们的乐子全毁了”。企业要做好思想准备，应对黑客们的挑战。