آسیبپذیری در فناوری AJAX تهدیدی برای Web ۲.۰
شرکت نرمافزاری Fortify از آسیبپذیری در فناوری AJAX خبر میدهد که آن را «فراگیر و بحرانی» نام برده است و خواستار عکسالعمل سریع توسعهدهندگان شده است. کارشناسان Fortify معتقد هستند که تعداد گستردهای از برنامههای کاربردی تحت Web ۲.۰ نسبت به اشکال امنیتی ویژهای در زبان JavaScript آسیبپذیر میباشند و به توسعه دهندگان این ابزارها اخطار دادهاند که هرچه زودتر ساختار امنیتی برنامههای خود را امن نمایند.
برطبق گزارش امنیتی رسمیاز شرکت Fortify، آسیبپذیری در حدود ۱۲ ساختار محبوب AJAX را آلوده کرده است و تعداد زیادی از ابزارهای تحت وب ۰/۲ نیز در ریسک خطر این آسیبپذیری میباشند. در سادهترین روش حمله، مهاجم میتواند توسط یک سند جعلی XML و به کارگیری روش در خواست Cross-site برنامه کاربردی تحت وب را مورد حمله قرار دهد.
این آسیبپذیری با نام «JavaScipt hijacking» شناخته میشود که اجازه دسترسی غیر مجاز به دادههای محرمانه درون پیغامهای JavaScript را صادر میکند. برنامههای تحت وب قدیمیتر که از مکانیزم حمل دادهها توسط جاوا اسکریپت استفاده نمیکنند شامل این آسیبپذیری نخواهند بود.
سوءاستفاده از آسیبپذیریهای جاوا اسکریپت بحث جدیدی نیست و در گذشته نیز ابزارهای بسیاری از جمله مرورگرهای وب از آسیبپذیری نسبت به زبان جاوا اسکریپت صدمه دیدهاند.
«Jeremiah Grossman» رییس فناوری سازمان WhiteHat Security میگوید: «همه چیز در دست توسعهدهندگان است و هیچ کس دیگر توان رسیدگی به این اشکال را نخواهد داشت».
هم اکنون دو راه حل جداگانه از سوی شرکت Fortify به برنامه نویسان پیشنهاد شده است که میتوانند با مطالعه گزارش آسیبپذیری اقدام به اجرای دستورات آن کنند.همچنین Fortify خاطر نشان کرده است که این اشکال به مهمترین و محبوب ترین ساختارهای توسعه (Frameworks) مربوط به فناوری AJAX گزارش شده است تا بتوانند هرچه زودتر در نسخه آینده آسیبپذیری مربوطه را رفع نمایند.
اما این مساله زمانی پیچیدگی خود را ثابت میکند که با تعداد زیادی ساختار متفاوت برنامه نویسی و افراد متفاوتی مواجه میشویم که هر کدام به گونه ای از فناوری AJAX بهره میبرند و همه آنها میبایست از وجود این آسیبپذیری مطلع شوند.
ارسال نظر