fortify软件公司的研究人员已经发现了他们称之为专门影响web 2.0和ajax应用软件的第一个缺陷…… 据crn网站报道称,fortify的首席科学家布赖恩说,过去,开发人员利用javascript完成图像旋转和web表单等简单功能,但在web 2.0世界中,javascript则越来越多地被用来传输数据,这就为安全问题打开了一道门。
据布赖恩称,在fortify称之为“javascript劫持”的一个安全缺陷中,黑客可以诱惑用户访问一个恶意网站,通过浏览器窃取机密数据,因为当被用来传输数据时,服务器不会对javascript提供充分的安全保护。布赖恩说,用户会泄露存储在网站上的自己的资料,其中包括机密的银行资料。
fortify的研究人员测试了十多种web 2.0框架,发现它们全都容易受到“javascript劫持”的影响。布赖恩说,所有的web 2.0应用软件都存在缺陷,其中包括来自google、微软、开放源代码界的ajax框架。
布赖恩表示,但是,传统的web应用软件不会受到这一问题的影响,因为它们不使用javascript作为数据传输机制。
据布赖恩称,尽管web 2.0技术已经很普及,但大多数企业还没有完全采用它这意味着我们还有时间来解决这类安全问题。他说,从长期来看,我们需要能够更好地应对这类web安全问题的更好的标准和浏览器。同时,开发人员需要修正他们的代码。
|
