Web 2.0网站安全堪忧 JavaScript恐引发攻击

编辑评论：国际报道 源代码检测工具厂商Fortify Software日前发布报告指出，JavaScript可被用来抓取未适当防卫的Web 2.0网站数据。

---

Fortify称此问题为“JavaScript挟持”，并在报告中详细解释该主题，但对长期追踪网络安全的人士而言，这已经不是新闻。

JavaScript是Web 2.0盛行的要角，但恶意的JavaScript，尤其是结合了日渐普遍的网站安全瑕疵，可能引发潜藏的网络攻击。

遭挟持的恶意JavaScript可攻击同样使用JavaScript的许多网络应用软件的数据传输机制，未获授权的攻击者便可藉此读取当中机密的数据。Whitehat Security的Jeremiah Grossman去年就利用Google Gmail的同类瑕疵示范这种攻击。由于Gmail用未防护的JavaScript传输数据，攻击者可偷取Gmail用户的通讯簿。

Fortify检查了12种受欢迎的网络程序编写工具，发现只有一种幸免于难。该公司表示：只有DWR 2.0装设了防范JavaScript挟持的机制。其它架构并未明确地提供任何防护，也没有在使用说明中提及任何安全顾虑。

Fortify检查了四种服务器整合工具组、Direct Web Remoting（DWR）、微软ASP.Net Ajax（Atlas）、Xajax和Google Web Toolkit（GWT），及八种客端软件组：Prototype、Script.aculo.us、Dojo、Moo.fx、jQuery、Yahoo UI、Rico和MochiKit。

要防范JavaScript挟持，Fortify建议Web 2.0应用软件应在每一次请求纳入一个难以猜出的参数，借以拒绝恶意的请求。此外，应防止黑客利用合法客端的功能直接执行JavaScript。