文︰ Joris Evers( CNET News.com)
翻譯校對︰ 編集部
入侵沒防備的網頁閱讀者的PC安全研究者明確了利用的方法。
無防備なウェブ閲覧者のPCを乗っ取ることなく利用する方法を、セキュリティ研究者が明らかにした。
這個因使用被稱為Jikto的安全工具實現可能性。 Jikto的開發者 從網頁安全公司SPI Dynamics的研究者Billy Hoffman敘述這工具使用JavaScript開發、 讓不知道網頁安全性的使用者電腦 收集網頁的脆弱性情報。 為了網頁安全提升開發Jikto的後半期 預計在華盛頓特區召開的黑客大會ShmooCon公開這工具。
これはJiktoと呼ばれるセキュリティツールを使うことで実現可能となる。Jiktoの開発者でウェブセキュリティ会社SPI Dynamicsの研究者Billy Hoffman氏によると、このツールはJavaScriptで書かれており、何も知らないウェブ閲覧者のPCにウェブサイトの脆弱性情報を収集させることができる。ウェブセキュリティ向上のためにJiktoを開発した同氏は今週後半、ワシントンD.C.で開催されるハッカーイベントShmooConでこのツールを公開する予定である。
Hoffman 使用本工具可以改變現行濫用JavaScript安全影響。 Jikto 分組抽籤後測試所有PC。 敘述(說)︰你的PC 開始攻擊網址,全部都能被我發現'。
Hoffman氏は「このツールはJavaScript悪用の影響範囲を劇的に変えるだろう。JiktoはあらゆるPCをかわいいドローンに変える。あなたのPCがウェブサイトを攻撃し始め、その成果はすべて私に差し出される」と述べた。
由於線上應用的發展,攻擊者增加對網頁安全攻破的興趣。從幾年前開始 交流網站點收藏很多注入SQL等等的脆弱性方法 現在正在越來越增加關於這樣的脆弱性的報告和濫用。
オンラインアプリケーションの登場により、攻撃者はウェブセキュリティ攻略への興味を増しているようだ。クロスサイトスクリプティングやSQLインジェクションなどの脆弱性は何年も前から知られているが、こうした脆弱性に関する報告や悪用はますます増加している。
Jikto是利網頁應用脆弱性查出惡意弱點。 Hoffman 敘述 他祕密地巡迴並公開了的網址找脆弱性,然後往第三者發送結果。 攻擊者在自己的網址上設定Jikto, 濫用被稱為 交流站點暫時紀錄 一般的網頁安全大廳在有信任的站點
Jiktoはウェブアプリケーション用の脆弱性検出ソフトである。Hoffman氏によると、公開されているウェブサイトを密かに巡回して脆弱性を探し、第三者に結果を送信するという。同氏は、攻撃者がJiktoを自分のウェブサイトに設置したり、クロスサイトスクリプティングと呼ばれる一般的なウェブセキュリティホールを悪用して信用のあるサイトに埋め込んだりできると述べた。
脆弱性查出軟體那個本身不是新版。 所以攻擊者可以利用像那樣的工具系統侵入,找可以利用的安全問題的是常發生的。 Jikto攻擊者之外,還有受歡迎的Nikto的網頁應用故障查出軟體。 二者的不同 使用Nikto通常是PC端應用、 Jikto則是以網頁瀏覽器實行的 找出網頁先天讓多PC分散查詢出故障的地方。
脆弱性検出ソフトそれ自体は新しいものではない。攻撃者がそのようなツールを利用してシステム侵入に利用可能なセキュリティホールを探すのはよくあることである。Jiktoは、攻撃者の間で人気のあるNiktoというウェブアプリケーション用バグ検出ソフトに似ている。両者の違いは、Niktoが通常のPC用アプリケーションであるのに対し、Jiktoはウェブブラウザで実行するウェブアプリであり、バグ検出作業を複数のPCに分散させて実行するところである。
據Hoffman說明 Jikto可以查出多數一般的安全問題 ,瀏覽器工具也能設定查出對象的網址和安全問題的種類。 例如,可能可以用大型站點為尋找對象查出SQL 注入的可能性。 用Jikto也可以查出深層的脆弱性與資料庫被攻擊暴露的危險。
Hoffman氏によると、Jiktoは多数の一般的なセキュリティホールを検出可能で、設置者がツールにアクセスして検出対象のウェブサイトやセキュリティホールの種類を設定することもできるという。例えば、大手オンラインバンキングサイトを対象にSQLインジェクションを探す、といった指定が可能である。Jiktoで検出可能な脆弱性には深刻なものもあり、データベースが攻撃にさらされる危険がある。
(這報導還在翻譯中。 隨時會更新)
(この記事は現在翻訳中です。随時更新していきます)
留言列表
