作者:天虹

　　【赛迪网讯】3月26日消息，据恶意软件研究人员称，JavaScript编码错误和使用新的编程技术的经验不足的网络开发人员将对许多网站和访问这些网站的用户构成严重的威胁。

　　据InfoWorld网站报道，SPI Dynamics软件公司主要研究工程师Billy Hoffman在3月24日举行的ShmooCon黑客大会上发表讲话说，企业使用的SPI市场渗透工具引起了在线网站和应用程序中的一些安全问题。

　　他说，这种威胁集中在JavaScript错误和在许多流行的网站和应用程序中不安全地使用AJAX等网络服务编程语言。

　　除了网络应用程序中开放的漏洞之外，Hoffman还介绍了黑客如何使用JavaScript和基于AJAX的工具找到新的网络上的安全漏洞和实施交叉网站脚本攻击。

　　Hoffman说，在过去的两年里，我们看到JavaScript做了许多坏事，包括窃取cookies、做键盘记录、屏幕捕捉以及各种钓鱼攻击等许多事情。现在，JavaScript还被用来进行端口扫描、制作自己进行传播的恶意软件以及窃取浏览器历史资料等。

　　这位研究人员称，许多知名网站都存在JavaScript安全漏洞。他演示了利用在CNN.com网站上的一个基于JavaScript安全漏洞的概念证明代码，介绍了如何伪造这个新闻网站的网页上的内容。

　　Hoffman说，这个问题几个月前就在安全论坛上报道了并且通知了CNN。但是，这个漏洞目前仍然没有修复。

　　恶意代码编写者正在使用这种技术制造交叉网站脚本威胁，误导消费者提供自己的口令，让黑客访问这些用户的个人信息。

　　Hoffman说，人们应该了解这些问题的严重性。软件开发人员如果忽略这些问题就会造成灾难。我们要努力改变软件开发和安全行业的状况，让他们了解这些错误可能造成的巨大危害。(n102)