JavaScript превращает браузер в хакерский инструмент
Инструмент для проверки безопасности сайтов, Jikto, позволяет превратить компьютер ничего не подозревающего пользователя в инструмент для взлома, утверждает её создатель Билли Хоффман (Billy Hoffman), исследователь безопасности из компании SPI Dynamics. Программа, написанная на JavaScript, работает без внедрения в систему и получения контроля над ней.
Хоффман намерен представить программу на хакерской конференции ShmooCon в Вашингтоне, Округ Колумбия. По его замыслу, презентация «резко изменит область вещей, которые можно сделать при помощи JavaScript. Jikto превращает любой ПК в моего маленького шмеля. Ваш компьютер начнёт атаковать веб-сайты для меня, и вы выдадите мне все результаты».
Jikto – сценарий на JavaScript – может быть установлен на любом сайте: при посещении пользователем веб-страницы, он загрузится в браузер и начнёт работать – сканировать сайты на уязвимости к атаке межсетевых сценариев (XSS) и другие. Jikto – JavaScript - версия инструмента Nikto, работающего как исполняемый код.
В следующей версии создатель обещает пойти дальше и «научить» сценарий не только сканировать, но и эксплуатировать уязвимости. Эту версию он намерен показать летом на конференции «Чёрных шляп» в Лас-Вегасе, сообщил ZDNet.