जीवन में हममें से कुछ लोग ऐसे हैं जो वास्तव में चीजों के काम करने के तरीके की बारीकियों को जानना चाहते हैं - लौकिक का दौरा करना "सॉसेज फैक्ट्री" जो हमारा पसंदीदा भोजन बनाती है, हमारी कारों को असेंबल करती है, या सस्ते गैजेट्स को बेस्ट बाय की अलमारियों पर रखती है और लक्ष्य।
वेब पर भी यही सच है. पिछले दो वर्षों में, हम सभी Google मानचित्र और वेब जैसे नए वेब-आधारित अनुप्रयोगों से आश्चर्यचकित हुए हैं AJAX (एसिंक्रोनस जावास्क्रिप्ट और XML) जैसी अनुप्रयोग विकास तकनीकें जो उन्हें संभव बनाती हैं। हममें से कितने लोग वास्तव में उन संभावित कमजोरियों के बारे में सोचना चाहते हैं जो AJAX जैसे शानदार नए टूल पेश करते हैं, जबकि वे पर्दे के पीछे वह सब जादू कर रहे हैं?
लेकिन एक नया जावास्क्रिप्ट ई-मेल वर्म इस बात का संकेत हो सकता है कि जिसे "वेब 2.0" कहा जाता है और इसे संभव बनाने वाले AJAX जैसे टूल के साथ हमारा रोमांस अचानक समाप्त हो सकता है।
यमनेर पहली बार 12 जून को सामने आया और याहू वेब-आधारित ई-मेल प्रोग्राम के उपयोगकर्ताओं को लक्षित करता है। यह पहले से अज्ञात क्रॉस साइट स्क्रिप्टिंग छेद का फायदा उठाता है और पीड़ित के याहू मेल संपर्कों पर छापा मारने के लिए AJAX का उपयोग करता है। कृमि की उपस्थिति इस बात का प्रमाण है कि दुर्भावनापूर्ण कोड लेखक AJAX और अन्य गतिशील वेब विकास तकनीकों का उपयोग कर रहे हैं वेब एप्लिकेशन सुरक्षा, एसपीआई डायनेमिक्स के प्रमुख अनुसंधान और विकास इंजीनियर बिली हॉफमैन ने कहा, गुप्त वेब-आधारित हमले कंपनी।
यमनेर के लेखक या लेखकों ने यह पता लगाया कि मानक HTML छवि टैग में दुर्भावनापूर्ण जावास्क्रिप्ट को इस तरह से कैसे जोड़ा जाए कि याहू के दुर्भावनापूर्ण कोड फ़िल्टर को मूर्ख बनाया जा सके। एक बार जब यमनर संदेश खोला गया और छवि लोड हो गई, तो दुर्भावनापूर्ण कोड चलाया गया, और AJAX का उपयोग किया गया चुपचाप याहू के वेब सर्वर से कनेक्ट करें और पीड़ित के खाते, हॉफमैन के माध्यम से वायरस की प्रतियां भेजें कहा।
अक्टूबर 2005 में, स्पेसहीरो नामक एक जावास्क्रिप्ट-आधारित वर्म माइस्पेस नेटवर्क पर व्यापक रूप से प्रसारित हुआ और वर्म के लेखक, "सैमी" को लाखों माइस्पेस उपयोगकर्ताओं की "मित्र" सूची में जोड़ने के लिए AJAX का उपयोग किया गया। हॉफमैन ने कहा, यमनर उसी विषय पर एक भिन्नता है, और "बड़े तीन" वेबमेल प्रदाताओं में से एक पर AJAX खतरे का पहला सबूत है।
यह वर्म सॉफ्टवेयर डेवलपर्स और वेबमास्टर्स के लिए एक चेतावनी होनी चाहिए जो अधिक जावा और AJAX शोषण करेंगे SANS इंटरनेट स्टॉर्म के एक घटना संचालक माइकल हैस्ले के एक ब्लॉग पोस्ट के अनुसार, आ रहा हूँ केंद्र।
हॉफमैन ने कहा, वेब डेवलपर्स को इनपुट सत्यापन पर पूरा ध्यान देने और क्रॉस साइट स्क्रिप्टिंग खामियों की रिपोर्ट को अधिक गंभीरता से लेने की जरूरत है। उन्होंने कहा कि Google के "जी-व्हिज़" वेब एप्लिकेशन की शौकीन कंपनियों को भी व्यावसायिक एप्लिकेशन को वेब पर पोर्ट करने से पहले सावधानी से सोचना चाहिए और योजना बनानी चाहिए।
हॉफमैन ने कहा, "जब आप व्यावसायिक तर्क को ग्राहक पक्ष में धकेलते हैं, तो आप हमलावरों को डेटा प्रकार और इनपुट रेंज देखने की अनुमति दे रहे हैं, जिसे देखने के लिए हैकर्स को आमतौर पर एक जटिल डिस्सेबलर की आवश्यकता होगी।"