================================
黑帽大會研究人員展示如何攻陷AJAX網站
| 為了提供Web 2.0服務,網站業者大量使用AJAX技術建置網站,只是,AJAX的特性亦擴大使用者端的權限及存取伺服器資料的能力,讓駭客有機可趁。 |
| 網路安全業者SPI Dynamics在黑帽大會上展示如何攻陷AJAX網站,呼籲開發人員要多加注意AJAX的安全性。 近來Web 2.0概念大行其道,而為了提供Web 2.0服務,網站業者大量使用AJAX(Asynchronous JavaScript and XML)技術建置網站,以讓網站與使用者之間的互動更為順暢。 透過AJAX建置網站的一個重要特性為─它允許在使用者輸入一個要求或資料時,網頁只需要重新更新特定部份,而不用全頁更新,而當中的一個關鍵是使用者的瀏覽器可與網站伺服器互動,取得伺服器中的部份資料,讓伺服器不用擔負整個網頁的更新。 只是,這樣的特性亦擴大使用者端的權限及存取伺服器資料的能力,讓駭客有機可趁。 SPI Dynamics研究人員Billy Hoffman及Bryan Sullivan利用現今大多數AJAX開發人員所用的技術建置了一個假想的旅遊網站─HackerVacations.com,網站上提供飯店或機票的訂購服務,然後在黑帽會議上展示如何攻陷該網站,例如在沒有付錢或是付了較少錢的情況下仍能訂位或購票成功。 Billy Hoffman說,比起傳統的網站應用程式,AJAX應用程式在客戶端執行更多的程式,這讓駭客可以了解AJAX應用程式的功能,包括功能名稱、資料格式、控制回圈及資料儲存方式等,而那些建置在基礎架構上的離線AJAX應用程式,像是Google Gears或Dojo等可能更容易引發資料洩露。 Bryan Sullivan表示,AJAX應用程式同時結合了傳統網站應用程式及桌面應用程式最好的可用性,只是,它一樣也承受了來自兩個平台的安全問題,AJAX實際上是一個潛在安全漏洞的完美風暴。 SPI Dynamics為一專門提供網站應用程式或網路服務安全解決方案的業者,今年3月也曾在ShmooCon駭客會議中展示了Javascript攻擊程式。Javascript也是Web 2.0網站主要的建置工具之一,當時Billy Hoffman展示了用JavaScript所開發的Jikto漏洞偵測工具,它可偵測網站或線上應用程式的漏洞,還能載入使用者瀏覽器中,並搜集使用者電腦中的資料,再將這些漏洞及個人資料回傳到駭客手中。 |
