インタラクティブな要素を持つWeb 2.0 WebページでのWebサイトおよびそのアプリケーションに対するJavaScriptテクノロジーの重要性が高まるにつれて、ハッカーはこのスクリプト言語にさらに注意を払っています。 JavaScriptの危険性は、水曜日に開催されたCanSecWestカンファレンスでITセキュリティの専門家によって話されました。
JavaScriptの悪意のあるスクリプトは慎重に隠されている、とArbor Networksのシニアセキュリティエンジニア、ホセナザリオは言います。 スクリプトテキストは多くのコンポーネントに分割され、暗号化され、ごみコマンドで希釈されます。 一部のスクリプトには、仮想マシンでのデバッグや実行を困難にする機能が追加されています。 「攻撃者は警告やあらゆる種類の検証手順を破壊する可能性があります。 多くの場合、特定のIPアドレスにスクリプトをダウンロードする機能も制限されます。 たとえば、悪意のあるWebサイトにアクセスしたウイルス対策会社は空白のページを受け取ることがありますが、通常のユーザーはそれを悪用できます。
研究者は、JavaScriptスクリプトを使用したオンラインユーザープロファイルを介して配布される可能性がある将来のワームについて数年前に警告しました。 2005年に、このようなワームがMySpaceに登場しました。 昨年、JavaScriptとAJAXで悪意のあるコードを記述することは、研究から商用に移行しました。 2月、ITセキュリティ企業のWebsenseは、Dolphin Stadium WebサイトがJavaScriptのトロイの木馬コードに感染していることを発見しました。メインページのテキストを単に置き換えるのではなく、攻撃者が目に見えない悪意のあるコードを作成しました。 さらなる調査により、この方法ですでに数十のサイトが感染していることが示されました。 また、3月にセキュリティ研究者のBilly Hoffmanが、JavaScriptで記述され、ブラウザで実行されるボットネットスクリプトJiktoのデモを行いました。
会議に参加したほとんどの専門家は、JavaScriptを使用する脅威の数は時間とともに増加することに同意しました。
www.securitylab.ru/news/294771.php
-あなたの意見では、ウェブサイトの構築におけるJavaScriptの普及のために、ハッキングが本当に増加していますか?
...私にとっては、プログラマーの能力が十分でない場合、スクリプト言語の場合に当てはまります。そのため、これらの穴は主に理想的な言語からではなく、ヒューマンファクターから現れます。