NEW: CrystalCPUID 4.10.1.32, Ashampoo Уязвимость JavaScript - уязвимость всей Web 2.0
Сотрудники американской компании утверждают, что большинство "скелетов" будущей программы и стандартов интерактивной составляющей веб-приложений используют JavaScript неправильно, что может послужить одной из причин утечки информации о постетителях. Fortify Software окрестили эту неурядицу взломом JavaScript. По словам специалистов, эта проблема возникает по причине того, что многие утилиты на базе AJAX используют язык скрипта в качестве "транспортного" механизма, а безопасность остается в стороне.
Считается, что самыми опасными являются сайты, использующие подделку http-запросов (XSRF). Используя XSRF владельцы сайтов получают данные из AJAX-приложений. На сегодняшний день эта проблема не приобрела широкомасштабного распространения, но AJAX будет использоваться все чаще и чаще, достаточно вспомнить новую поисковую систему Yahoo! Alpha. Иными словами, чем больше число сайтов с AJAX-приложениями, тем больше уязвимых систем в сети."
Мы стараемся донести до разработчиков, что у них появился по крайней мере один повод для размышлений, которого не существовало ранее. Обычно специалисты по информационной безопасности появляются спустя длительное время после того, как что-то случается. Однако на этот раз у нас есть шанс решить проблему до ее реального возникновения", — заметил научный специалист Fortify Software Брайан Чесс (Brian Chess). Продолжая рассуждать об уязвимости систем он заметил: "
Мы стараемся донести до разработчиков, что у них появился по крайней мере один повод для размышлений, которого не существовало ранее. Обычно специалисты по информационной безопасности появляются спустя длительное время после того, как что-то случается. Однако на этот раз у нас есть шанс решить проблему до ее реального возникновения".
Ни для кого не секрет, что JavaScript стал использоваться гораздо чаще для атак на удаленные компьютеры. Вспомним 2005 год и сетевой червь Samy, который распространялся среди пользователей сверхпопулярного социального ресурса MySpace. В 2006 году исследователи предупреждали, что в случае более активного распространения интерактивных технологий количество червей будет неуклонно расти. Иными словами, чем ближе к нам , тем уязвимее мы становимся.
Уровень уязвимостей возросла в течение последних месяцев, когда хакеры стали заниматься созданием сайтов, содержащих вредоносные коды для перенаправления пользователей на "заразные" ресурсы. Поскольку технология AJAX-атак уже давно известна, JavaScript-хакинг считается абсолютно новой ступенью взлома. "
Это тот случай, когда даже опытные разработчики не представляли масштаб угрозы, поскольку о ней не подозревали даже члены информационного сообщества", — подчеркивает Чесс. Взлома "Явы" основывается на сборе данных через скрипт-структуры. Приведем пример: если сайт использует формат обмена данными JavaScript Object Notation (JSON) и обрабатывает информацию, используя JavaScript-переменныме, то злоумышленник может создать веб-страницу для отправки вопросов к сайту, которые атакуется, через браузер пользователя.
К тому же уязвимыми можно считать приложения, которые собирают информацию из нескольких источников и имеют функцию обратного вызова, которая используется для многократного повторения определенной задачи. В список уязвимых попали: Microsoft ASP.NET Atlas, XAJAX, Google Web Toolkit. Fortify Software считают, что ситуация стоит достаточно остро. Поэтому необходим срочный созыв конференции с разработчиками AJAX-фреймворков. Уже выдвинуты два метода решения проблемы: первый из них – защита сайтов от поддельных http-запросов, а второй – внедрить в JavaScript внешний код, который нужно будет удалять перед обработкой, иначе функционирование скрипта будет останавливаться. В первом случае будет открыта панацея от взлома технологии. Для реализации подобной системы разоработчикам предлагают встраивать в запросы специальные символы-маркеры.
