热门技术的安全命门之：BI和SaaS

事件。有人就把信息"Sammy是我的大英雄"植入到了数以千计的MySpace页面里。

　　为了评估未来的JavaScript风险可考虑使用Jikto， 这是SPI Dynamics 的首席研究员比利·霍夫曼(Billy Hoffman)5月24日在ShmoozCon黑客大会上演示的一个跨站攻击脚本引擎。

　　JavaScript有一套内建的安全模式，叫"同一来源，"即JavaScript只能访问与其发起来源同一站点上的页面内容，不是来自一个站点就不能访问。但用Jikto就可以绕过这一检测机制，它首先把网页内容发送到一个代理站点，如谷歌翻译(Google Translate)，这个站点负责把网站内容从一种语言翻译成另一种语言。恶意的Jikto用户可以利用谷歌翻译返回的内容，进行漏洞扫描并进行攻击。Jikto可以利用谷歌翻译或其他代理站点获得返回的页面，扫描漏洞，避开JavaScript安全模型。

　　JavaScript脚本千变万化，甚至自己就能改变自己，因此常规病毒扫描根本无法检测它们。Yahoo Mail出问题的JavaScript原本用于图片上传，但它可以被恶意利用，因为雅虎的代码没有检查文件是否确实是个图片。网站上遍布着许多这样后门。

　　自从公布了Jikto的风险，霍夫曼就收到不少来自黑客们的邮件，内容大体是"你这下可把我们的乐子全毁了。"做好思想准备，应对挑战。