为了提供Web 2.0服务,网站业者大量使用AJAX技术建置网站,只是,AJAX的特性亦扩大使用者端的权限及存取服务器数据的能力,让黑客有机可趁。
网络安全业者SPI Dynamics在黑帽大会上展示如何攻陷AJAX网站,呼吁开发人员要多加注意AJAX的安全性。
近来Web 2.0概念大行其道,而为了提供Web 2.0服务,网站业者大量使用AJAX(Asynchronous JavaScript and XML)技术建置网站,以让网站与使用者之间的互动更为顺畅。
透过AJAX建置网站的一个重要特性为─它允许在使用者输入一个要求或数据时,网页只需要重新更新特定部份,而不用全页更新,而当中的一个关键是使用者的浏览器可与网站服务器互动,取得服务器中的部份数据,让服务器不用担负整个网页的更新。
只是,这样的特性亦扩大使用者端的权限及存取服务器数据的能力,让黑客有机可趁。
SPI Dynamics研究人员Billy Hoffman及Bryan Sullivan利用现今大多数AJAX开发人员所用的技术建置了一个假想的旅游网站─HackerVacations.com,网站上提供饭店或机票的 订购服务,然后在黑帽会议上展示如何攻陷该网站,例如在没有付钱或是付了较少钱的情况下仍能订位或购票成功。
Billy Hoffman说,比起传统的网站应用程序,AJAX应用程序在客户端执行更多的程序,这让黑客可以了解AJAX应用程序的功能,包括功能名称、数据格 式、控制回圈及数据储存方式等,而那些建置在基础架构上的离线AJAX应用程序,像是Google Gears或Dojo等可能更容易引发数据泄露。
Bryan Sullivan表示,AJAX应用程序同时结合了传统网站应用程序及桌面应用程序最好的可用性,只是,它一样也承受了来自两个平台的安全问题,AJAX实际上是一个潜在安全漏洞的完美风暴。
SPI Dynamics为一专门提供网站应用程序或网络服务安全解决方案的业者,今年3月也曾在ShmooCon黑客会议中展示了Javascript攻击程 式。Javascript也是Web 2.0网站主要的建置工具之一,当时Billy Hoffman展示了用JavaScript所开发的Jikto漏洞侦测工具,它可侦测网站或在线应用程序的漏洞,还能加载使用者浏览器中,并搜集使用者 计算机中的数据,再将这些漏洞及个人资料回传到黑客手中。
网友评论