ユーザーが気づかないうちにWebブラウザを攻撃者のツールに変えてしまうソフトウェアがインターネットにポストされたことが明らかになった。この事態は、今年3月に米国ワシントンD.C.で開催されたハッカー・コンファレンス「ShmooCon」(3月23~25日)の会場で来場者の1人がこのソフトウェアをダウンロードしたことから始まった。 「Jikto」と呼ばれる同ソフトウェアは、スパイ・ダイナミクスの主任研究員であるビリー・ホフマン氏が作成した。同氏は3月24日、JavaScriptを使った悪意のあるプログラムの危険性をテーマとした講演でこのコードのデモンストレーションを行った。 ホフマン氏は、あらゆるWebブラウザで稼働させることができるWeb言語であるJavaScriptを使ってWeb脆弱性スキャン・プログラムを作成する方法を発見した。この手法を使えば、JavaScriptのセキュリティ機能を迂
Jeremiah Grossman氏のブログなどに書かれていますが、非公開としていたJiktoのソースコードが流出したそうです。 あわせて、先月のShmooConでのプレゼン資料が公開されています(概要だけならば、この資料の方が理解しやすいです)。 ソースコードとプレゼン資料を見ましたが、どうも私が想像していたのとは違いました。どちらかというと、JiktoはカスタムWebAP用の脆弱性スキャナに近いもののようです(Niktoとは毛色が違います)。 Jiktoは他のカスタムWebAP用の脆弱性スキャナと同じように、リンクを辿ってページを探索し、脆弱性の有無を調べます(ページはXHRで取得する)。現状では、検査対象となる脆弱性は、XSSとバックアップファイルの存在のみで、しかも非常にシンプルな攻撃パターンしか備えていません。 ポイントは、プロキシサイトや、同等の動きをするGoogle Tran
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
