資安業者展示JavaScript綁架漏洞

資安業者Fortify在周一（4/2）發表一份文件，讓企業了解如何修補Web 2.0及AJAX軟體中的重要漏洞。

這是因為Fortify發現了一JavaScript 綁架（Hijacking）漏洞，可讓駭客劫持使用者的瀏覽器並且竊取機密資料。Fortify先針對12個著名的AJAX架構進行分析，發現大多數的AJAX架構並未提供任何的保護，而且也未註明任何安全議題。

Fortify所分析的AJAX架構涵蓋Google、微軟及Yahoo所提供的AJAX或Web工具包等，結果僅有Direct Web Remoting （DWR） 2.0能夠預防JavaScript Hijacking。

所謂的JavaScript Hijacking是讓駭客能夠以使用者的身份存取Web 2.0應用程式，同時駭客也能讀取使用JavaScript的瀏覽器與應用程式間所傳輸的機密資料，因此駭客就能夠進行商品買賣、股票交易，還能更改企業網路的安全設定，甚至進一步存取或處理企業的客戶、庫存與財務資訊。

標榜能夠很快建置可迅速存取資料、強化應用程式效能及促進合作的Web 2.0逐漸成為主流，Fortify引用McKinsey的研究報告指出，約有75%的企業計畫增加對Web 2.0技術的投資，而最喜歡採用Web 2.0技術的產業為零售業、高科技產業、電信業、金融業及醫藥產業等。

不過，Fortify共同創辦人Brian Chess指出，這也顯示出Web 2.0的安全愈來愈重要，而且，這並不像一般在應用程式或作業系統中出現的漏洞，沒有任何單一的銷售商可以解決此漏洞，因此該公司才必須透過文件讓軟體開發人員了解Web 2.0所帶來的風險。

這並不是市場上第一個警告Web 2.0及JavaScript具有安全風險的資安業者。SPI Dynamics在上個月的ShmooCon駭客會議中便曾表示駭客很容易就能結合JavaScipt、AJAX等網站技術進行強力攻擊，當時SPI Dynamics研究人員Billy Hoffman並展示了JavaScript所開發的Jikto漏洞偵測工具，它可偵測網站或線上應用程式的漏洞，以竊取使用者資訊或進一步針對漏洞進行攻擊。

當時，Billy Hoffman說他將不會公布Jikto程式碼，以免被有心人士濫用。不過，有一資訊安全顧問Schroll卻記下了含有Jikto程式碼的網址，找到該程式，並且將它公布在自己的網站上，即使該程式已在Billy Hoffman的要求下移除，但估計已被下載了100次，同時已現身在其他網站上。

目前尚未有資安業者揭露任何採用Jikto程式進行攻擊的例子。對於程式被揭露，Billy Hoffman認為，即使駭客未取得Jikto程式碼，也可能在幾個月內開發出類似的程式。（編譯/陳曉莉）