Er zijn er maar weinigen in het leven die echt willen graven in de details van hoe dingen werken - om de spreekwoordelijke "worstfabriek" die ons favoriete eten maakt, onze auto's in elkaar zet of goedkope gadgets in de schappen legt bij Best Buy en Doel.
Hetzelfde geldt op het web. In de afgelopen twee jaar zijn we allemaal onder de indruk geweest van nieuwe webgebaseerde applicaties zoals Google Maps en het web applicatieontwikkelingstechnieken zoals AJAX (Asynchronous Javascript en XML) die ze mogelijk maken. Hoeveel van ons willen echt nadenken over de mogelijke kwetsbaarheden die coole nieuwe tools zoals AJAX introduceren terwijl ze al die magie achter de schermen doen?
Maar een nieuwe Javascript-e-mailworm kan een teken zijn dat onze romance met wat "Web 2.0" wordt genoemd en de tools zoals AJAX die dit mogelijk maken, abrupt tot een einde kan komen.
Yamanner verscheen voor het eerst op 12 juni en richt zich op gebruikers van het Yahoo webgebaseerde e-mailprogramma. Het maakt gebruik van een voorheen onbekend cross-site scripting-gat en gebruikt AJAX om de Yahoo Mail-contacten van een slachtoffer te overvallen. Het uiterlijk van de worm is het bewijs dat kwaadwillende codeschrijvers AJAX en andere dynamische webontwikkelingstechnieken gebruiken om te creëren heimelijke webgebaseerde aanvallen, zegt Billy Hoffman, hoofdonderzoeks- en ontwikkelingsingenieur bij SPI Dynamics, een beveiligingsbedrijf voor webtoepassingen bedrijf.
De auteur of auteurs van Yamanner bedachten hoe kwaadaardig Javascript aan een standaard HTML-afbeeldingstag kon worden gekoppeld op een manier die de kwaadaardige codefilters van Yahoo voor de gek hield. Nadat een Yamanner-bericht was geopend en de afbeelding was geladen, werd de schadelijke code uitgevoerd en was AJAX eraan gewend maak in stilte verbinding met de webserver van Yahoo en stuur kopieën van het virus via het account van het slachtoffer, Hoffman gezegd.
In oktober 2005 circuleerde een op Javascript gebaseerde worm genaamd Spacehero op grote schaal op het MySpace-netwerk en gebruikte AJAX om de auteur van de worm, "Samy", toe te voegen aan de "vrienden"-lijst van miljoenen MySpace-gebruikers. Yamanner is een variatie op hetzelfde thema en het eerste bewijs van een AJAX-dreiging die een van de "grote drie" webmailproviders treft, zei Hoffman.
De worm zou een wake-up call moeten zijn voor softwareontwikkelaars en webmasters die meer Java- en AJAX-exploits zullen doen komen eraan, volgens een blogpost van Michael Haisley, een incidentbehandelaar voor de SANS Internet Storm Centrum.
Webontwikkelaars moeten goed letten op invoervalidatie en meldingen van cross-site scripting-gaten serieuzer nemen, zei Hoffman. Bedrijven die gecharmeerd zijn van "gee-whiz" webapplicaties van Google, moeten ook goed nadenken en plannen voordat ze zakelijke applicaties naar het web porteren, zei hij.
"Als je bedrijfslogica naar de clientzijde pusht, laat je aanvallers gegevenstypen en invoerbereiken zien waarvoor hackers normaal gesproken een gecompliceerde disassembler nodig hebben om ze te zien", aldus Hoffman.