服务热线:

0755-
28138669

联系我们

地址:深圳市公明街道上村社区莲塘工业城B区第九栋

电话:0755-28138669

传真:0755-28181110

阿里巴巴网址:

http://shop1405324438759.1688.com

联系人:向先生:13510696609

内容详情
您现在的位置: 网站首页> 北京PK10> 内容详情

Web 2.0,满足Internet攻击2.0

斗牛牛旧金山 - 一位安全研究人员周三警告说,Web 2.0的炫目互动能力带来了大量新应用,但该技术也带来了安全漏洞的新时代。 “安全性一开始就是一个挑战,但如果有的话,它在Web 2.0世界中变得越来越困难,”Fortify安全研究小组的经理Jacob West说道,该公司帮助公司确保他们的软件是安全的。他在旧金山Web 2.0博览会的演讲中发表了他的评论。 一个很大的罪魁祸首是JavaScript,这种语言被广泛用于控制Web浏览器并实现更复杂的操作。 JavaScript已经存在了十多年,但新的风险正在出现,因为它是Ajax的一个主要组件,Ajax是一种用于构建丰富的交互式站点的Web 2.0技术。 韦斯特在演讲结束后接受采访时表示,“阿贾克斯的独特问题数量仍然很少。”但Ajax意味着JavaScript的使用范围更广泛,复杂程度要高得多,因此现有的漏洞更为普遍,而且“攻击技术正在迅速改进”。 他确实描述了一个特定于Ajax的问题,称为JavaScript劫持。有了它,可以指示从网站上获取恶意JavaScript代码的拼三张Web浏览器实际上是向攻击者发送机密信息。 “JavaScript劫持是特定于Ajax的,”韦斯特说。它依赖于打包为JavaScript代码的个人信息的传输,以及“使用JavaScript传输信息,这是我对Ajax代码所特有的”。 Ajax触发的另一个问题是JavaScript更复杂,因此更难测试。更复杂化带来了“输入验证”问题的更多机会 - 例如,确保输入表单的文本实际上并不是顽皮的代码,可以避开普通的审查并在某人的计算机上运行。 韦斯特对于基本进展有助于减少脆弱性感到悲观。例如,拥有浏览器和网站的公司不愿意接受会破坏与旧技术兼容的变更。 “我们正在讨论将在10年时间内出现的修复措施,”他说。 但有些人正致力于至少关闭这些漏洞。例如,使用Direct Web Remoting(DWR)和Google Web Toolkit(GWT)的程序员更新了他们的Ajax编程工具包,以便在通过时解决JavaScript劫持攻击。 但是,其他工具包制造商并没有那么敏感,他说:“微软和雅虎回信说,'不,我们不打算解决这个问题。'” 斗地主

友情链接
版权所有 Copyright(C)2014- 北京PK10开户_官方平台_可提供下载     北京PK10开户_官方平台_可提供下载 北京PK10开户_官方平台_可提供下载 网站地图