Ajax技术让网站面临更多黑客攻击

发表时间:2007-08-08内容来源:站长资讯收集整理作者:佚名

  使用Ajax技术的浪潮正在让Web开发者犯下一些基本的安全错误,在他们的应用程序中留下多个安全漏洞。

  这是根据在拉斯维加斯举行的Black Hat安全大会上的安全专家得出来的结论。他们表示,在某些情况下,为了避免企业面对攻击门户打开,开发者应该有选择的使用Ajax技术。

  在一场题为“不成熟的Ajax”的演示中,SPI Dynamics的安全专家Billy Hoffman和Bryan Sullivan展示如何攻陷AJAX网站,呼吁开发人员要多加注意AJAX的安全性。

  近来Web 2.0概念大行其道,而为了提供Web 2.0服务,网站业者大量使用AJAX技术来建设网站,以让网站与浏览者之间的互动更为丰富。

  通过AJAX建设网站的一个重要特性,它允许在访问者输入一个要求或数据时,网页只需要重新更新某一特定部分,而不用全部更新,而这其中的一个关键是访问者的浏览器可与网站服务器互动,取得服务器中的部份数据,让服务器不用担负整个网页的更新。

  但是,这样的特性同时也扩大了访问者端的权限及存取服务器数据的能力,让黑客有机可乘。

  据安全专家称,很多Web应用程序开发者并没有认识到,使用了Ajax技术的应用程序在客户端执行了更多的任务,同时这也暴露了许多的服务器的API,这使得这让黑客可以了解AJAX应用程序的功能,包括功能名称、数据格式、控制回圈及数据储存方式等。

  据SPI的Hoffman表示,而那些建置在基础架构上的离线AJAX应用程序,像是Google Gears或Dojo等可能更容易引发数据泄露。

  据Hoffman表示,像微软的Silverlight软件安全性要更强一些。

  • 站长资讯刊登此文只为传递信息,并不表示赞同或者反对作者观点。
  • 如果此内容给您造成了负面影响或者损失,本站不承担任何责任。
  • 如果内容涉及版权问题,请及时与我们取得联系。

文章评论

共有 位CH网友发表了评论 查看完整内容