На предстоящей конференции Black Hat, которая состоится летом в Лас-Вегасе, как ожидается, будет продемонстрирован новый хакерский инструментарий Jikto, предназначенный для поиска уязвимостей на веб-сайтах.

Создателем Jikto, по сообщению CNET News, является программист Билли Хофмэн из компании SPI Dynamics. Программа Jikto представляет собой специализированный сканер дыр в веб-приложениях. Инструмент написан на языке JavaScript и может быть внедрен во вредоносную веб-страницу. При просмотре такой страницы через браузер пользователь, сам того не подозревая, автоматически активизирует Jikto. После этого компьютер пользователя начинает "атаковать" различные сайты на предмет поиска уязвимостей, а результаты сканирования пересылаются автору программы.

Нужно отметить, что сканеры дыр в ПО существуют достаточно давно и активно используются хакерами. Однако, как правило, такие инструментарии представляют собой обычные программы, тогда как Jikto работает непосредственно через браузер. Причем Jikto может быть запущена совершенно незаметно для пользователя и будет работать до тех пор, пока открыт браузер. Программа Jikto может получать инструкции от своего автора, не оставляя никаких следов пребывания на компьютере жертвы. В тоже время установить истинную личность нападающего будет крайне сложно, поскольку сканирование веб-сайтов Jikto осуществляет от имени рядовых пользователей интернета.

Существующая версия Jikto способна лишь выявлять дыры в веб-приложениях и сообщать информацию о найденных уязвимостях своему автору. Однако Хоффмэн уже работает над следующей версией программы, которая сможет эксплуатировать дыры с целью получения конфиденциальной информации. Теоретически Jikto можно будет запрограммировать, например, на поиск слабых мест в системе защиты онлайновой платежной системы или банка.
compulenta.ru


Чуть позже (3.04.2007) стало известно, что исходные коды Jikto утекли в сеть в результате невнимательности автора, который выложил тестовую версию страницы на одном из сатов, в которой содержалась прямая ссылка на сам скрипт Jikto. Покопавшись некоторое время в сети мне удалось найти эти исходные коды. Выкладываю их здесь:
http://shados.0x48k.cc/other/jikto.zip
Однако, по заявлениям некоторый специалистов утилита ещё очень сырая, и, в частности, следует обратить внимание на участок кода, отвечающий за поиск XSS.

__________________

..когда же кто-нибудь выпустит MD5(Unix) брутер на GPU.... жду....