Большинство фреймворков (стандартов и готовых программных модулей), предназначенных для реализации интерактивного функционала в веб-приложениях, некорректно используют язык JavaScript. Это обстоятельство может привести к утечке данных о пользователях из веб-приложений, утверждают сотрудники американской компании Fortify Software. Проблема, которую в Fortify Software назвали «взломом яваскрипта», возникает по причине того, что многие утилиты на базе популярного комплекса технологий AJAX используют скриптовый язык как транспортный механизм, не уделяя при этом должного внимания безопасности. Основная угроза при этом исходит от сайтов, применяющих так называемую подделку http-запросов (XSRF). С помощью подобных запросов владельцы вредоносных сайтов воруют данные из AJAX-приложений. Пока эта проблема актуальна для относительно небольшого числа сайтов, однако использование AJAX растет, а вместе с ним будет расти и число уязвимых систем, отмечает ведущий научный специалист Fortify Software Брайан Чесс (Brian Chess). "Мы стараемся донести до разработчиков, что у них появился по крайней мере один повод для размышлений, которого не существовало ранее. Обычно специалисты по информационной безопасности появляются спустя длительное время после того, как что-то случается. Однако на этот раз у нас есть шанс решить проблему до ее реального возникновения", — заявил Чесс. За последние два года JavaScript стал существенно чаще использоваться для атак на компьютеры интернет-пользователей. Так, в 2005 году червь Samy распространялся среди посетителей сайта MySpace. В прошлом году исследователи предупредили о том, что степень распространения интернет-червей увеличивается вместе с развитием интерактивных технологий, получивших общее название Web 2.0. Угрозы стали особо заметны в течение нескольких последних месяцев, когда хакеры направили усилия на создание сайтов, рсодержащих вредоносные коды для редиректа пользователей на опасные ресурсы. Если AJAX-атаки используют язык скриптов вполне понятным образом, то "взлом JavaScript" оказывается абсолютно новой угрозой. "Это тот случай, когда даже опытные разработчики не представляли масштаб угрозы, поскольку о ней не подозревали даже члены информационного сообщества", — подчеркивает Чесс.
Более подробно