|
-
首頁 > 知識庫 >
JavaScript開啟瀏覽器攻擊之門
-
JavaScript開啟瀏覽器攻擊之門
資安研究員發現一種方法,可用利JavaScript取得家庭網路或企業網路的映像(map),進而對所有連線的伺服器或印表機、路由器等裝置發動攻擊。
資安研究員指出,這種惡意的JavaScript可嵌入網頁,在使用者以普通瀏覽器讀取網頁時毫無預警地執行,連防火牆等安全防護措施也拿它沒輒,因為此惡意程式是透過瀏覽器執行。
網路安全專業公司SPI Dynamics的首席工程師Billy Hoffman說:「我們已發現一種掃瞄網路的手法,可把測得的網路連線裝置統統加以指紋特徵辨識(fingerprint),再對這些裝置發出攻擊或指令。這種手法可掃瞄有防火牆保護的網路,例如企業內部的網路。」
這類攻擊如果得逞,影響甚大。Hoffman舉例說,惡意程式可能掃瞄整個家庭網路,偵測路由器的機型,然後傳指令給路由器,以啟動無線連網並且把加密功能全部關閉。也可取得企業網路的映像,然後對伺服器發動攻擊,讓攻擊顯得像是內部員工所為似的。
網路應用資安公司WhiteHat Security的技術長Jeremiah Grossman說:「你的瀏覽器可能被用來入侵內部網路。」他說,SPI Dynamics和WhiteHat Security大約在同一時間發現這種JavaScript式的網路掃瞄程式,兩家公司打算本周在啦斯維加斯舉行的Black Hat安全會議中討論此事。
JavaScript、AJAX與WWW
JavaScript已問世十年左右。這種script程式語言用於網站,近年來隨著AJAX程式技巧的風行,使用率日益普及。AJAX的全名是「非同步JavaScript與XML」(Asynchronous JavaScript and XML),可提升網站的互動性,但AJAX也有安全上的陷阱。
惡意JavaScript恐怕存在已久,只是資安研究員不大重視,淨是集中注意力抓網頁瀏覽器的安全漏洞。
Nmap網路掃瞄工具發明人Fyodor Vaskovich說:「以前,探究這種side-channel型攻擊的動機不強。但SPI Dynamics弱點的一大優勢是很難修補,否則可能破壞許多網路應用程式。所以,此弱點可能久久未能根除。」
他說,以前也有人試著用JavaScript編寫網路掃瞄程式,但功能都不像SPI Dynamics的範本這麼先進。SPI Dynamics找出高明的攻擊手法,且有紮實的示範支持,是一大功勞。他們藉檢查預設映像路徑與名稱辨識伺服器的方法,實在很高桿。」
執行時,JavaScript會先判斷PC在內部網路的位址,然後用標準的JavaScript物件和指令,開始掃瞄與網路伺服器連線的區域網路。這些網頁伺服器可能是用來伺服網頁的電腦,但也可能包含路由器、印表機IP電話等連網裝置,或是具有網路介面的應用程式。
主機發出的ping
SPI Dynamics paper解釋,JavaScript掃瞄器先用JavaScript「映像」(image)物件傳出偵測(ping)訊息,以判斷某個網際網路協定(IP)位址是否有相對應的電腦。接下來,再檢查儲存在標準路徑的檔案、回傳的資料流量以及錯誤訊息,據以判斷哪些伺服器正在執行。
惡意的JavaScript可能是寄身在駭客的網站,但若是利用一種稱為「網站交叉scripting」的常見安全漏洞,也可能透過受信賴的網站發動攻擊。知名的大型網路公司如Google、微軟和eBay等,都尚未修補這些安全漏洞。上周,AOL的網景網站(Netscape.com)就修補這類安全漏洞,以免對手Digg.com的粉絲在網景網站植入JavaScript程式。
Grossman預定在BlackHat會議上示範一次攻擊。他說:「我們會示範如何取得內部的IP位址,如何掃瞄內部網路,如何作指紋辨識,和如何進入DSL路由器。用瀏覽器攻擊內部網路(intranet),可讓我們完全控制瀏覽器。」
就防護措施而言,PC使用者可說是束手無策。專家說,現在大致上只能靠網站開發者想辦法,以維護使用者和伺服器的安全。有些PC安全軟體能偵測惡意的JavaScript,但通常只是攻擊發生後才偵測得到,因為這些軟體依賴攻擊簽名檔(威脅留下的「指紋」)來攔阻攻擊。
Grossman說:「我們建議的保護措施,都是針對伺服器方面而言。」他說,網站管理者應該先修補網站交叉scripting的安全漏洞,並確使用者上傳的JavaScript。他說:「使用者可謂完全受制於他們到訪的網站。使用者可關閉JavaScript,但這不是解決辦法,因為太多網站靠它來運作。」
此外,若是懷疑某個網站怪怪的,不妨換個網頁瀏覽,或關閉瀏覽器,這樣也可能有助於攔阻惡意的JavaScript。
目前為止,這類攻擊還不普遍。Grossman說:「JavaScript惡意程式仍是尖端技術,就像早期的電子郵件病毒一樣,能拿它來搞什麼鬼,現在還不得而知。我認為,以後會有更多的攻擊事件浮上檯面。」(
|