九、JavaScript让人不安

　　Web 2.0采用的是JavaScript动态语言。JavaScript通过Ajax编程，允许Web应用和用户个人之间进行交互。但JavaScript和Ajax也为网站入侵者带来了众多新的攻击途径。

　　一年前，Yamanner蠕虫有段时间利用了雅虎邮箱的一处JavaScript漏洞，得以在网上迅速传播开来，还把地址簿上的电子邮件地址转发给垃圾邮件发送者。使用JavaScript允许用户上传内容的MySpace发生了几起这样的事件：恶意代码把跨站脚本安全漏洞植入到MySpace帐户中，然后传染给访问者使用的计算机。有人把“Sammy是我的大英雄”这条消息植入到了成千上万个MySpace页面上。

　　为了评估将来的风险，不妨考虑使用Jikto，SPI Dynamics安全公司的首席研究员Billy Hoffman在去年3月24日举行的ShmoozCon黑客大会上演示了这个跨站脚本引擎。

　　JavaScript拥有内置的安全模型，名为“同一来源”：JavaScript只能在来源网站上访问内容或者执行操作，而在其他任何网站上无法访问或者操作。但Jikto可用来绕过这种保护机制：把网站内容发送到Google Translate等代理网站，然后代理网站把网站内容从一种语言翻译成另一种语言。恶意的Jikto用户可以指示网站内容在Google Translate上显示，在此进行漏洞扫描，然后查看扫描结果。Jikto可以利用Google Translate或者原本另有其用的其他代理网站来检索一个个网站的页面，对它们进行扫描以查找漏洞，从而躲开JavaScript的安全模型。

　　JavaScript可以经常变动，甚至按指令来改变自己，所以传统的病毒扫描通常发现不了它们。雅虎邮箱事件就牵涉上传照片的JavaScript功能，但该功能有可能被人恶意利用，因为雅虎的代码并不检查文件实际上是不是图片。网上有许多这样的后门。

　　公布了Jikto的风险后，霍夫曼收到了为非作歹之徒发来的电子邮件，大意是“你可毁了我们的乐趣。”你要作好准备，因为这批家伙会想出别的点子来寻乐。