上个月的Shmoocon***会议上,一位思维敏捷的与会者下载了某种软件,它能够将网络浏览器变成无意识的***工具,之后就有人在网上公布了该软件。
该软件被称为Jikto,是由Spy Dynamics的首席研究员Billy Hoffman编写的。3月24日,Hoffman在一篇关于JavaScript恶意软件威胁的演讲中展示了这些代码。
众所周知JavaScript是一种能够在任何浏览器上运行的语言,Hoffman发现了一种用JavaScript编写的扫描网络漏洞软件的方法。该技术能够规避JavaScript的安全限制,为防止这项技术被滥用,Hoffman说他采取了额外措施来防治代码泄露。
但是,为了进行演示,他不得不将Jikto代码发布到网上。“人们只能简短地看到Jikto代码所在的原始URL地址。”
然而,这些信息已经足够与会者Mike Schroll来获取复件了。
“我坐得很靠前,并且早已准备好了笔记本电脑,”Schroll说,他是安全管理伙伴公司的信息安全顾问。“我一看到那些代码,就开始打字了。”
Schroll在3月25日在他的网站上发布了这些代码,并且在Digg.com上发布了一个链接。应Hoffman的要求,他在数小时后就删除了该软件。
Schroll认为该代码对那些想要证明脚本***的危险性的安全专业人士很有用,所以才发布了这些代码。“我对这些代码非常感兴趣,因为我们为一些用户提供仿造的钓鱼网站。我并不是想将它用到坏的方面。”
Schroll说在他的网站上该软件被下载了大约100次。
上个周末,该代码再次在Sla.ckers.org的线上论坛出现了。
由于Jikto现在被公开了,安全研究者们担心犯罪分子会用它来搜索内网的敏感信息,或者建立恶意的僵尸网络。“这个特殊的工具能够控制网络浏览器,”白帽子安全公司的CTO Jeremiah Grossman说,“它会散布到其他网络站点,并扫描那些站点,寻找安全漏洞。”
Hoffman很希望能发表自己的工具,他说,犯罪分子有可能已经能开发跟他那只有短短800行代码的程序类似的东西了。
“很遗憾,我的软件不能发表了,”Hoffman说,“但是,实际上,那些坏家伙很可能已经知道怎么编写这些应用了,即使他们现在不知道,几个月后也会知道的。 ”
他并不怪Schroll泄露Jikto代码。“任何好奇的人都有可能像他那样做的,”Hoffman说。“我并不应该责怪那些好奇的人,满足人们的好奇心正是我该做的事情。”
=============================================
原文作者:Robert McMillan
原文来源:IDG News Service
原文链接:[url]http://www.computerworld.com/action/article.do?[/url]
command=viewArticleBasic&taxonomyName=security&articleId=
9015382&taxonomyId=17&intsrc=kc_top
command=viewArticleBasic&taxonomyName=security&articleId=
9015382&taxonomyId=17&intsrc=kc_top
0
收藏
推荐专栏更多
猜你喜欢
我的友情链接
高端二手笔记本报价
javascript 中的innerHTML的用法
JavaScript模拟用户单击事件
Java线程:线程的调度-休眠
我们不得不面对的中年职场危机
深入认识javascript中的eval函数
职场终极密籍--记我的职业生涯
用光影魔术手制作一寸照片(8张一寸)
javascript里的document.all用法收集
javascript中查看元素事件函数的一些技巧
我的IT职场生涯: 毕业4年,月薪过万
大话微服务」深入聊聊SpringCloud之客户端负载均衡机制
Spring Boot 中 10 行代码构建 RESTful 风格应用
Java核心库实现AOP过程
RabbitMQ如何保证队列里的消息99.99%被消费?
几种简单的负载均衡算法及其Java代码实现
RabbitMQ如何保证消息99.99%被发送成功?
IT兄弟连 JavaWeb教程 经典案例
在阿里架构师眼中构建一个较为通用的业务技术架构就是如此简单
扫一扫,领取大礼包
转载于:https://blog.51cto.com/dgcnn/27373
Ctrl+Enter 发布
发布
取消