Ảnh: CNN

Các chuyên gia bảo mật vừa tìm ra cách dùng ngôn ngữ lập trình này để dựng sơ đồ mạng nhà hay công ty, từ đó tấn công các thiết bị và máy chủ. JavaScript "độc" có thể được cài vào một trang web và chạy mà không báo trước khi trang đó được xem từ trình duyệt bình thường.

"Chúng tôi đã phát hiện ra một kỹ thuật quét mạng, lấy dấu tay trên tất cả các thiết bị nối mạng rồi gửi lệnh tấn công các thiết bị đó", Billy Hoffman, kỹ sư trưởng của hãng an ninh SPI Dynamics, cho biết. "Kỹ thuật này có thể quét qua được các mạng nằm sau tường lửa như mạng của công ty".

Bộ quét của JavaScript sẽ xác định xem có máy tính ở địa chỉ IP nào đó không bằng cách gửi một lệnh "ping" dùng các đối tượng dạng hình ảnh. Sau đó, nó tiếp tục kiểm tra xem server nào đang chạy bằng cách tìm các file hình ảnh đón theo luồng đi của chúng.

JavaScript nguy hiểm có thể đặt tại trang web của kẻ chủ mưu nhưng một vụ tấn công có thể ẩn núp dưới một site an toàn (trusted site) bằng cách khai thác lỗ hổng được biết tới với tên gọi cross-site scripting. Đây là dạng gửi lệnh cho trình duyệt của người sử dụng thực thi các đoạn mã nguy hiểm. Một trong những cách đó là giấu mã độc trong đường liên kết (link) tới một trang web không tồn tại. Khi trang này không được tìm thấy, đoạn mã được gửi ngược lại cùng với địa chỉ web giả, khiến cho trình duyệt của người dùng phải thực thi nó.

Nếu đột nhập thành công, JavaScript có thể gây ảnh hưởng lớn khiến những sản phẩm bảo mật hiện nay cũng không ngăn cản được. Tuy nhiên, các vụ tấn công dùng ngôn ngữ lập trình này mới đang trong giai đoạn "trứng nước", chưa phát triển rộng.

JavaScript đã xuất hiện khoảng một thập kỷ nay. Ngôn ngữ lập trình dạng chữ viết được sử dụng trên các trang web và trở nên phổ biến trong những năm gần đây nhờ kỹ thuật AJAX (Asynchronous JavaScript) và XML giúp cho các site có tính tương tác cao hơn. Nhưng bản thân AJAX cũng có những lỗ hổng bảo mật.

Thuỳ Hương (theo CNet)
(Theo VNExpress)