Hayatta işlerin nasıl yürüdüğüne dair en ince ayrıntılara girmeyi - atasözünü ziyaret etmeyi - gerçekten isteyen çok azımız var. En sevdiğimiz yemeği yapan, arabalarımızı monte eden veya Best Buy'daki raflara ucuz aletler koyan "sosis fabrikası" ve Hedef.
Aynı durum Web'de de geçerlidir. Son iki yılda, Google Haritalar ve Web gibi yeni Web tabanlı uygulamalar hepimizi büyüledi. AJAX (Eşzamansız Javascript ve XML) gibi bunları mümkün kılan uygulama geliştirme teknikleri. AJAX gibi harika yeni araçların ortaya çıkardığı olası güvenlik açıklarını, perde arkasında tüm bu sihri yaparken kaçımız gerçekten düşünmek istiyoruz?
Ancak yeni bir Javascript e-posta solucanı, "Web 2.0" olarak adlandırılan şeyle ve bunu mümkün kılan AJAX gibi araçlarla olan aşkımızın aniden sona erebileceğinin bir işareti olabilir.
Yamanner ilk olarak 12 Haziran'da ortaya çıktı ve Yahoo Web tabanlı e-posta programı kullanıcılarını hedefliyor. Önceden bilinmeyen bir siteler arası betik deliğinden yararlanır ve bir kurbanın Yahoo Mail kişilerine baskın yapmak için AJAX kullanır. Solucanın görünümü, kötü niyetli kod yazarlarının oluşturmak için AJAX ve diğer dinamik Web geliştirme tekniklerini kullandığının kanıtıdır. Bir Web uygulama güvenliği olan SPI Dynamics'in baş araştırma ve geliştirme mühendisi Billy Hoffman, gizli Web tabanlı saldırılar dedi. şirket.
Yamanner'ın yazarı veya yazarları, Yahoo'nun kötü amaçlı kod filtrelerini kandıracak şekilde kötü amaçlı Javascript'i standart bir HTML resim etiketine nasıl ekleyeceğini anladı. Bir Yamanner mesajı açıldığında ve görüntünün yüklenmesi bittiğinde, kötü niyetli kod çalıştırıldı ve AJAX kullanıldı. sessizce Yahoo'nun Web sunucusuna bağlanın ve kurbanın Hoffman hesabı aracılığıyla virüsün kopyalarını gönderin söz konusu.
Ekim 2005'te, Spacehero adlı Javascript tabanlı bir solucan, MySpace ağında geniş çapta dolaştı ve solucanın yazarı "Samy"yi milyonlarca MySpace kullanıcısının "arkadaşlar" listesine eklemek için AJAX'ı kullandı. Hoffman, Yamanner'ın aynı temanın bir varyasyonu olduğunu ve "üç büyük" Webmail sağlayıcısından birini vuran bir AJAX tehdidinin ilk kanıtı olduğunu söyledi.
Solucan, yazılım geliştiricileri ve Web yöneticileri için daha fazla Java ve AJAX açıklarının açılacağı bir uyandırma çağrısı olmalıdır. SANS İnternet Fırtınası olay yöneticisi Michael Haisley tarafından yazılan bir blog gönderisine göre Merkez.
Hoffman, web geliştiricilerinin girdi doğrulamaya çok dikkat etmeleri ve siteler arası komut dosyası çalıştırma açıkları raporlarını daha ciddiye almaları gerektiğini söyledi. Google'ın "gee-whiz" Web uygulamalarına aşık olan şirketlerin de iş uygulamalarını Web'e taşımadan önce dikkatlice düşünmeleri ve planlamaları gerektiğini söyledi.
Hoffman, "İş mantığını istemci tarafına kaydırdığınızda, saldırganların, bilgisayar korsanlarının normalde görmek için karmaşık bir ayrıştırıcıya ihtiyaç duyacakları veri türlerini ve giriş aralıklarını görmesine izin vermiş olursunuz" dedi.