آسیب‌پذیری در فناوری AJAX تهدیدی برای Web ۲.۰

شرکت نرم‌افزاری Fortify از آسیب‌پذیری در فناوری AJAX خبر می‌دهد که آن را «فراگیر و بحرانی» نام برده است و خواستار عکس‌العمل سریع توسعه‌دهندگان شده است. کارشناسان Fortify معتقد هستند که تعداد گسترده‌ای از برنامه‌های کاربردی تحت Web ۲.۰ نسبت به اشکال امنیتی ویژه‌ای در زبان JavaScript آسیب‌پذیر می‌باشند و به توسعه دهندگان این ابزارها اخطار داده‌اند که هرچه زودتر ساختار امنیتی برنامه‌های خود را امن نمایند.

برطبق گزارش امنیتی رسمی‌از شرکت Fortify، آسیب‌پذیری در حدود ۱۲ ساختار محبوب AJAX را آلوده کرده است و تعداد زیادی از ابزارهای تحت وب ۰/۲ نیز در ریسک خطر این آسیب‌پذیری می‌باشند. در ساده‌ترین روش حمله، مهاجم می‌تواند توسط یک سند جعلی XML و به کارگیری روش در خواست Cross-site برنامه کاربردی تحت وب را مورد حمله قرار دهد.

این آسیب‌پذیری با نام «JavaScipt hijacking» شناخته می‌شود که اجازه دسترسی غیر مجاز به داده‌های محرمانه درون پیغام‌های JavaScript را صادر می‌کند. برنامه‌های تحت وب قدیمی‌تر که از مکانیزم حمل داده‌ها توسط جاوا اسکریپت استفاده نمی‌کنند شامل این آسیب‌پذیری نخواهند بود.

سوء‌استفاده از آسیب‌پذیری‌های جاوا اسکریپت بحث جدیدی نیست و در گذشته نیز ابزارهای بسیاری از جمله مرورگرهای وب از آسیب‌پذیری نسبت به زبان جاوا اسکریپت صدمه دیده‌اند.

«Jeremiah Grossman» رییس فناوری سازمان WhiteHat Security می‌گوید: «همه چیز در دست توسعه‌دهندگان است و هیچ کس دیگر توان رسیدگی به این اشکال را نخواهد داشت».

هم اکنون دو راه حل جداگانه از سوی شرکت Fortify به برنامه نویسان پیشنهاد شده است که می‌توانند با مطالعه گزارش آسیب‌پذیری اقدام به اجرای دستورات آن کنند.همچنین Fortify خاطر نشان کرده است که این اشکال به مهمترین و محبوب ترین ساختار‌های توسعه (Frameworks) مربوط به فناوری AJAX گزارش شده است تا بتوانند هرچه زودتر در نسخه آینده آسیب‌پذیری مربوطه را رفع نمایند.

اما این مساله زمانی پیچیدگی خود را ثابت می‌کند که با تعداد زیادی ساختار متفاوت برنامه نویسی و افراد متفاوتی مواجه می‌شویم که هر کدام به گونه ای از فناوری AJAX بهره می‌برند و همه آنها می‌بایست از وجود این آسیب‌پذیری مطلع شوند.