Главная страницаСоздание сайтовБлог Кузнецова М.В.Статьи о PHPPHP-скриптыСтатьи об ApacheФорум С++КонсультацииФорум "Про Жизнь"
Форум: Форум PHPФорум ApacheФорум Регулярные ВыраженияФорум MySQLHTML+CSS+JavaScriptФорум FlashРазное
Новые темы: 0000000
Самоучитель PHP 5 / 6 (3 издание). Авторы: Кузнецов М.В., Симдянов И.В. PHP 5/6. В подлиннике. Авторы: Кузнецов М.В., Симдянов И.В. Программирование. Ступени успешной карьеры. Авторы: Кузнецов М.В., Симдянов И.В. Самоучитель MySQL 5. Авторы: Кузнецов М.В., Симдянов И.В. PHP на примерах (2 издание). Авторы: Кузнецов М.В., Симдянов И.В.
ВСЕ НАШИ КНИГИ 		Консультационный центр SoftTime

Разное
Вход  Регистрация  Список форумов  Живой форум  Архив  RSS-канал  Правила форума  Участники "Online"  Все участники

Выбрать другой форум

 

Здравствуйте, Посетитель!

 Новая тема

 Поиск

  Список тем

вид форума:
Линейный форум Структурный форум

тема: Jikto, поиск WEB уязвимостей на JS

следующая тема
 
 автор: Duran   (15.05.2007 в 09:28)   письмо автору
  
 

Автор Билли Хофмэн из компании SPI Dynamics.
Программа Jikto представляет собой специализированный сканер дыр в веб-приложениях. Инструмент написан на языке JavaScript и может быть внедрен во вредоносную веб-страницу. При просмотре такой страницы через браузер пользователь, сам того не подозревая, автоматически активизирует Jikto. После этого компьютер пользователя начинает "атаковать" различные сайты на предмет поиска уязвимостей, а результаты сканирования пересылаются автору программы.
Существующая версия Jikto способна лишь выявлять дыры в веб-приложениях и сообщать информацию о найденных уязвимостях своему автору. Однако Хоффмэн уже работает над следующей версией программы, которая сможет эксплуатировать дыры с целью получения конфиденциальной информации. Теоретически Jikto можно будет запрограммировать, например, на поиск слабых мест в системе защиты онлайновой платежной системы или банка.

Ссылка на мануал
http://www.spidynamics.com/spilabs/education/presentations/Javascript_malware.pdf
Сам скрипт в аттаче.

   
 
 автор: Duran   (15.05.2007 в 09:38)   письмо автору
  
   для: Duran   (15.05.2007 в 09:28)
 

Ах да. В "иходном" виде использовать не рекомендую :-).

   
 
 автор: mefestofel   (15.05.2007 в 13:14)   письмо автору
  
   для: Duran   (15.05.2007 в 09:38)
 

Это сообщение можно трактовать двояко - я не видел исходники... Нет времени их качать и разбирать... В первом случае, как средство - поиска уязвимостей - это бред полный.... ;-) В этом деле нет ничего лучше собственной головы, надо изучить сайт или платежную систему перед тем как выбрать метод "поиска дыр". Хочу сказать, что надо головой продумать что и как проламывать-тестировать, в каком порядке, а потом уже пишется программа, заточенная под определенные нужды... Сами вспомните сколько багов в PHP, MySQL, (а если эту линейку расширить и перейти на Windows и др?.) достаточно вспомнить сообщения о найденных дырах и критических уязвимостях.... Этого всего не учесть в одной программе, да это и не надо... Если хочется(нежно) что-то "тестировать", прикладывайте голову....
Тем более большинство продуктов при правильном тестировании, обезличиваются за короткий промежуток времени - это факт.

   
 
 автор: 12345   (15.05.2007 в 17:55)   письмо автору
  
   для: mefestofel   (15.05.2007 в 13:14)
 

Главная идея этого потенциального-анализатора уязвимостей для взлома - обращается ничего не подозревающий клиент со своим IP, а автор взлома - в тени (разве что быстро прокопать, какой сайт в тот момент смотрел клиент и найти его автора).

   
Rambler's Top100
вверх

Rambler's Top100 Яндекс.Метрика Яндекс цитирования