Javascript и современный интернет

Ошибки в JavaScript коде и web-разработчики, которые не компетентны в новых технологиях программирования представляют серьёзную опасность для безопасности многих интернет сайтов и их посетителей.

На прошедшем 24 марта съезде хакеров ShmooCon, Билли Хофман (Billy Hoffman), ведущий инженер-исследователь производителя программного обеспечения из Атланты SPI Dynamics, подробно рассказал о том, что он считает эпидемией для сегодняшней сети.

Предполагаемая угроза скрывается в широкой распространенности ошибок в JavaScript кодах, а также небезопасное использование так называемых языков программирования для web-сервисов, например, такого как AJAX, который совмещает асинхронный JavaScript с XML, и использование их во многих популярных сайтах и приложениях.

В добавок к возникновению лазеек в web-приложениях, Хофман продемонстрировал как JavaScript и AJAX-базируемые функции могут быть использованы хакерами для online-поиска новых уязвимостей.

"За последние два года мы увидели как JavaScript используется от краж cookies для совершения входа в систему до, так называемой техники, screen-scraping и других атак. Сейчас JavaScript используется для сканирования портов с целью создания самораспространяющегося вредоносного кода и кражи истории браузера".

Исследователи, утверждающие, что данные ошибки есть на сайтах практически любой компании, показали, как можно взять под контроль базу CNN.com и манипулировать новостями. Сообщение об используемой ошибке, кстати, появлялось на форумах по безопасности несколько месяцев назад, а также было направлено в CNN, однако, до сих пор ошибка исправлена не была.

Ховман заявил, что производятся попытки изменить направления разработок программного обеспечения и индустрии безопасности путем разъяснения, насколько может быть разрушительно использование JavaScript.