В интернете потерялся инструмент для поиска уязвимостей

Jikto – инструмент, предназначенный для поиска уязвимостей на веб-сайтах и в веб-приложениях, попал в интернет. К моменту удаления его копии успели скачать около ста человек.

Инстуремент Jikto, написанный специалистом компании SPI Dynamics Билли Хоффмэном на языке JavaScript, может быть внедрен во вредоносную веб-страницу. При посещении такой страницы Jikto автоматически загрузится в браузер и начнет сканировать онлайновые ресурсы на предмет наличия дыр. Программа Jikto может получать инструкции от своего автора, не оставляя никаких следов пребывания на компьютере жертвы. Причем установить истинную личность нападающего крайне сложно, поскольку сканирование веб-сайтов Jikto осуществляет от имени рядовых пользователей интернета.

Возможности Jikto были продемонстрированы Хоффмэном в рамках конференции ShmooCon в Вашингтоне в конце прошлого месяца. При этом сам Хоффмэн не стал ни открывать код инструментария, ни выкладывать программу в Сеть. Тем не менее, инструментарий все же попал в интернет.

Майку Шролу, одному из посетителей ShmooCon, удалось подсмотреть адрес, с которого Jikto загружался в ходе демонстрации, и скачать копию инструментария на свой компьютер. 25 марта копия Jikto появилась на сайте Шрола, кроме того, ссылка на инструментарий была размещена на страницах популярного сервиса Digg.com. Через несколько часов по просьбе Хоффмэна инструментарий был удален, однако к тому моменту его уже скачали порядка ста человек.

В результате, сейчас копии Jikto при желании можно найти на некоторых сайтах, в частности, Sla.ckers.org. Шрол, выложив программу на своем сайте, рассчитывал привлечь внимание специалистов по вопросам сетевой безопасности и разработчиков программного обеспечения. Однако можно предположить, что в не меньшей степени инструментарий заинтересует хакеров и киберпреступников, сообщает securitylab.ru.

Оцените статью
BYBANNER.COM

Добавить комментарий