作为一款由于太危险而不得不放弃发布的新工具，Jikto可将任一台运行Windows、Mac或Linux操作系统的PC，或者任一台使用浏览器的设备转变为一个站点攻击工具。

        这款名为Jikto的工具是一款可用于搜索跨站脚本（cross-site scripting,CSS）漏洞的Web应用扫描工具。在3月24日ShmooCon黑客大会上，这款工具开发者--SPI Dynamics公司安全研究员比利.霍夫曼（Billy Hoffman）对于这款工具的使用进行了具体演示。

        该工具是以JavaScript编写而成，能秘密地嵌入到任一款提供JavaScript支持的浏览器中。由于能悄无声息地将自身插入到任意浏览器（可能为PC或蜂窝电话），Jikto可以在被感染浏览器的所有者毫不知情的情况下对站点中跨站脚本安全漏洞扫描并将结果报告给第三方。"这款工具还能自我复制到包含跨站脚本安全漏洞的站点上，然后再通过正在访问该站点的浏览器而进一步扩散。"霍夫曼表示。"这不是JavaScript被意料用来做的事情，但不幸的是它就是可以被这么用。"

        JavaScript是一种基于原型编程概念的一种脚本语言，源于Netscape公司的ECMAScript标准版本；如今在Mozilla Foundation控制下以其在网站上客户端突出作用而被众人熟知。在这种情境下，JavaScript的一个主要用途是编写一些可内嵌入HTML页面中的函数，这些函数可与该页面DOM（文档对象模型）交互，用来达成一些HTML本身不能完成的事件。比如，创建弹出窗口、验证Web表单输入值或当鼠标移到图象上时改变图象。

        而Web应用漏洞扫描工具从出现到现在已有7年历史，不过大部分都作为安装在PC上的软件的形式而存在。Jikto虽也是应用漏洞扫描工具，但由于是以JavaScript编写的所以并不需要在客户端落户。霍夫曼表示："你的游览器往往仅访问一个页面。如果该页面中嵌入了JavaScript，你的浏览器就能开始扫描其他站点中的漏洞。"

        Jikto令微软震惊

        此次ShmooCon会议，微软Internte Explorer团队的成员以及FireFox游览器制造商Mozilla公司的代表也位列其中。当得知不法分子可以利用JavaScript做这种事情时他们都有些震惊。霍夫曼表示：这是好事，他们关注将更有利于提高人们对于Web站点漏洞的危机意识。

        实际上，过去几年以来安全研究员已发现攻击者利用Web站点漏洞的情况急剧增多，特别是跨站脚本漏洞，因为攻击者可以利用跨站脚本漏来将JavaScript注入到一个站点中。比如说，通过在一个在线'来宾留言'或论坛中不是键入一个消息或一个问题，而是插入一段JavaScript，攻击者就轻松地将该恶意HTML就下载到一个浏览器中。

        近期发生了一些JavaScript攻击例子，包括：3月初，微软在意大利的Windows Live搜索引擎就遭遇一个"链接炸弹"袭击，热门关键词的搜索结果中有95%是指向恶意软件及利用漏洞攻击的站点。据赛门铁克报告显示，这是加密的JavaScript将访问者进行了重新定向。此外还出现：Yamanner病毒侵袭了雅虎Webmail邮件系统；Samy蠕虫攻击了MySpace用户。

        霍夫曼表示：之前我们以前所见到的蠕虫攻击只是感染桌面应用程序。但现在Web由于已得到普遍使用因而对攻击者更具吸引力，毕竟作为一个传输工具来说它会更有效得多。不论是运行Windows、Linux或Mac系统计算机，还是蜂窝手机、智能手机，只要是支持JavaScript的设备，它将都能进行攻击。 "JavaScript是种功能有限的语言，"他表示。"但在过去的几年中，人们已发现了各种各样可利用JavaScript来做本来它做不到的事的巧妙技俩。"

        开发人员对安全认知落后两三年

        霍夫曼原本准备在ShmooCon会议上公开发布Jikto，但在SPI Dynamics官员的要求下他改变了决定，因为这款工具有可能会被那些攻击者所利用。"我们准备将这作为一种培训用途，展示我们现在所处形势以及具体情况有多糟。"霍夫曼表示。"现在大部分的开发人员对安全的认知总是落后两年半或三年时间，因而这样的培训是绝对必要的。

        同时虽然一些安全专家早已指出跨站脚本攻击数量正在不断上升。"但只有近期，这些攻击才真的变成非常危险。"霍夫曼表示。"除了安全行业以外，其他行业危险意识真的很低。我们必须开始严肃看待Web漏洞问题。"

        此外，想要通过修补浏览器方法来避免遭受Jikto所造成的这类攻击并不可能，因为这不是IE或Firefox有根本性错误，也不是JavaScript有什么不对。问题只是在于简单的JavaScript功能被用错了方向。"这只是它的一些功能使它可以被用于这种用途，"霍夫曼表示。"这就好比我有一个铁撬，我可能用它来侵入一辆汽车，但若将它用于正道上也能起到很好的作用。并不是JavaScript本身有害或者不好。只是JavaScript用法违背JavaScript的设计本意。"

        事实上，包括Google、eBay、PayPal、Yahoo以及Mozilla Foundation在内的大型网络公司已发现由于漏洞的存在而使他们被他人利用为跨站脚本平台。现在他们已着手处理这一问题，其他较小的公司也应采取相应措施。

        不过，SDI Dynamics限制霍夫曼公布这一代码（Jikto）的这一措施想来并不会起到多大作用。如果霍夫曼知道JavaScript能以他使用Jikto所演示的这种方式被恶意利用，其他人肯定也能做到。"我不是天才，并不比别人聪明多少，"霍夫曼表示。"如果我现在在会议上讨论了这些做法，那么你最好相信已有别人也知道怎么这样做了。只是这些人可能想暗中用这种方式来利用JavaScript，或将这类代码作为可利用的东西而进行出售、或用来发现漏洞、或所有诸如此类的各种事情，所以他们并未公开所知道的内容。"

        霍夫曼最后表示：Jikto本质上与其说是一款工具，更多意义上不如说是概念论证代码的一个示范样例。任何人想要复制出我所做的东西都相当容易。它是概念论证型的代码，也许有900行左右的代码。其中大部分是我的注释和空行。

        总而言之，这或许并不是一个精密的概念，但它的确很好证明了人们必须彻底解决跨站脚本漏洞。如果有谁认为这并不是一个问题，那么Google的亲身感受将会是你很好的借鉴对象。