Port-Scanning mit JavaScript

Der Dienstleister SPI Dynamics beschreibt, wie sich mittels JavaScript Port-Scans per Webbrowser durchführen lassen. Platziert ein Angreifer auf seiner Webseite ein solches Skript, ist er damit in der Lage das Netzwerk des Besuchers auszuspähen, selbst wenn dieses mit einer Firewall geschützt ist. In Zusammenhang mit Cross-Site-Scripting-Schwachstellen könnte dies zu einem Sicherheitsrisiko werden. SPI Dynamics skizziert in dem Dokument, wie der Angriff funktioniert und verweist auf ein Beispielskript, das im Intranet des Anwenders sämtliche Webserver ausfindig machen und den Typ des Servers bestimmen kann.

Detecting, Analyzing, and Exploiting Intranet Applications using JavaScript von SPI Dynamics (dab)