使用Ajax技术的浪潮正在让Web开发者犯下一些基本的安全错误,在他们的应用程序中留下多个安全漏洞。
这是根据在拉斯维加斯举行的Black Hat安全大会上的安全专家得出来的结论。他们表示,在某些情况下,为了避免企业面对攻击门户打开,开发者应该有选择的使用Ajax技术。
在一场题为“不成熟的Ajax”的演示中,SPI Dynamics的安全专家Billy Hoffman和Bryan Sullivan展示如何攻陷AJAX网站,呼吁开发人员要多加注意AJAX的安全性。
近来Web 2.0概念大行其道,而为了提供Web 2.0服务,网站业者大量使用AJAX技术来建设网站,以让网站与浏览者之间的互动更为丰富。
通过AJAX建设网站的一个重要特性,它允许在访问者输入一个要求或数据时,网页只需要重新更新某一特定部分,而不用全部更新,而这其中的一个关键是访问者的浏览器可与网站服务器互动,取得服务器中的部份数据,让服务器不用担负整个网页的更新。
但是,这样的特性同时也扩大了访问者端的权限及存取服务器数据的能力,让黑客有机可乘。
据安全专家称,很多Web应用程序开发者并没有认识到,使用了Ajax技术的应用程序在客户端执行了更多的任务,同时这也暴露了许多的服务器的API,这使得这让黑客可以了解AJAX应用程序的功能,包括功能名称、数据格式、控制回圈及数据储存方式等。
据SPI的Hoffman表示,而那些建置在基础架构上的离线AJAX应用程序,像是Google Gears或Dojo等可能更容易引发数据泄露。
据Hoffman表示,像微软的Silverlight软件安全性要更强一些。
(举报)