JavaScriptを悪用した攻撃手法--セキュリティ研究者らが発見 - (page 2)

文:Joris Evers(CNET News.com) 翻訳校正:尾本香里(編集部)2006年07月31日 11時21分

JavaScript、Ajax、ウェブ

 JavaScriptが登場して10年ほどが経過する。同スクリプト言語はウェブサイトで利用されてきたが、サイトのインタラクティブ性をさらに高める実装形態である「Ajax」が注目されるようになってから、ますます人気を博するようになった。ただ、Ajaxにもセキュリティ上の落とし穴がある。

 悪質なJavaScriptは何年も前から作成可能だったが、セキュリティ研究者らはあまりこれに注目せず、素早く簡単にPCを乗っ取れるウェブブラウザの脆弱性を研究することに重点を置いてきたと、Fyodor Vaskovich氏は述べている。同氏は、人気のポートスキャンツールNmapの生みの親である。

 Vaskovich氏は、「これまでは今回のような攻撃手法はほとんど探されてこなかった。SPI Dynamicsが発見した脆弱性で重要なのは、この問題を修正すると多数のウェブアプリケーションが利用できない状態に陥ってしまう点だ。つまり、これがあと数年放置されたままになる可能性もあるということだ」と述べている。

 JavaScriptベースのネットワークスキャナを開発しようという同様の試みは何度かあったが、SPI Dynamicsの例のように高度なものはこれまでなかったと、Vaskovich氏は語っている。Vaskovich氏は、「巧みな手法で攻撃を試み、確かな根拠に基づいて問題をデモンストレーションしたSPI Dynamicsは称賛に値する」と述べている。

 このJavaScriptは実行されると、まずPCの内部ネットワークアドレスを取得する。そして、JavaScriptオブジェクトとコマンドを使い、ローカルネットワークをスキャンしてウェブサーバを探し出す。ここでは、ウェブサイトの運用に使われるマシンのほか、ルータやプリンタ、IP電話などのネットワーク接続デバイスや、ウェブインターフェースを持つアプリケーションもスキャンの対象になる。

 Grossman氏は、「最近はあらゆるものにウェブサーバ機能が搭載されている」と語っている。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画特集

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]