SPI Dynamics представила новый инструмент для поиска дыр в Web приложениях

Исследователи компании SPI Dynamics обнаружили способ, которым хакеры могут заставить систему пользователя выполнять всю "грязную" работу без необходимости захвата полного контроля.

Способ этот получил реализацию в виде приложения Jikto, написанного в JavaScript и проникающего на компьютеры через уязвимости в веб-сайтах. Разработал приложение сотрудник SPI Dynamics Билли Хоффман (Billy Hoffman), однако он не собирается использовать программу по прямому назначению. Разработка будет в конце недели публично представлена на хакерском мероприятии ShmooCon в Вашингтоне.

Jikto — сценарий на JavaScript — может быть установлен на любом сайте: при посещении пользователем веб-страницы он загрузится в браузер и начнёт работать — сканировать сайты на уязвимости к атаке межсайтового скриптинга (XSS) и других дыр. Jikto — JavaScript — версия инструмента Nikto, работающего как исполняемый код.

По словам Хоффмана, его разработка существенным образом меняет представление о вредоносных возможностях , доступных с помощью JavaScript. " Jikto превращает любой компьютер в мой маленький трутень. Ваш ПК по моей команде начнет атаковать сайты и присылать мне всю информацию о результатах", - отмечает Хоффман. Jikto представляет собой в первую очередь сканер уязвимостей, который может вживляться в "доверяемые" сайты. В следующей версии создатель обещает пойти дальше и «научить» сценарий не только сканировать, но и эксплуатировать уязвимости. Эту версию он намерен показать летом на конференции «Чёрных шляп» в Лас-Вегасе.