По мере роста важности технологии JavaScript для веб-сайтов, и применения её в веб-страницах web 2.0 с интерактивными элементами, хакеры обращают на этот язык сценариев более пристальное внимание. Об опасностях, связанных с JavaScript, говорили специалисты ИТ-безопасности на конференции CanSecWest в среду, сообщил The Register.

Вредоносные сценарии на JavaScript тщательно скрывают, говорит старший инженер безопасности Arbor Networks Хосе Назарио (Jose Nazario). Текст сценария разбивают на множество компонентов, шифруют, разбавляют мусорными командами. Некоторые сценарии даже дополняют функциями, затрудняющими отладку или запуск в виртуальных машинах. «Атакующие могут уничтожать предупреждения и все виды процедур проверки. Часто они даже ограничивают возможность загрузки сценария определёнными IP-адресами». К примеру, антивирусные компании, попавшие на вредоносный сайт, могут получить пустую страницу, в то время как обычный пользователь – эксплоит.

Исследователи ещё несколько лет назад предупреждали о будущих червях, которые смогут распространяться через онлайновые профили пользователей при помощи сценариев на JavaScript. В 2005 году такой червь появился на MySpace. В прошлом году написание вредоносного кода на JavaScript и AJAX перешло из разряда исследовательской работы в коммерческую. В феврале компания ИТ-безопасности Websense обнаружила, что веб-сайт стадиона Dolphin был заражен троянским кодом на JavaScript: вместо обычной замены текста на главной странице, злоумышленники встроили туда незаметный вредоносный код. Дальнейшее исследование показало, что таким образом уже были заражены десятки сайтов. А в марте исследователь безопасности Билли Хоффман (Billy Hoffman) продемонстрировал сценарий для ботнета, Jikto, написанный на JavaScript и работающий через браузер.

Большинство экспертов, посетивших конференцию, сошлись во мнении, что количество угроз с использованием JavaScript будет со временем нарастать.