• 我爱技术网-河南网站建设-上海网站建设-SEO优化-网络营销-SEO三人行

  • 专注网站建设 服务热线: 13061801310

当前位置:我爱技术网 > SEO优化 > SEO黑帽 > 正文

黑帽大会:Ajax技术让网站面临更多黑客攻击

发布时间:2018-09-10 | 发布者: 东东工作室 | 浏览次数:

使用Ajax技术的浪潮正在让Web开发者犯下一些基本的安全错误,在他们的应用程序中留下多个安全漏洞。

这是根据在拉斯维加斯举行的Black Hat安全大会上的安全专家得出来的结论。他们表示,在某些情况下,为了避免企业面对攻击门户打开,开发者应该有选择的使用Ajax技术。

在一场题为“不成熟的Ajax”的演示中,SPI Dynamics的安全专家Billy Hoffman和Bryan Sullivan展示如何攻陷AJAX网站,呼吁开发人员要多加注意AJAX的安全性。

近来Web 2.0概念大行其道,而为了提供Web 2.0服务,网站业者大量使用AJAX技术来建设网站,以让网站与浏览者之间的互动更为丰富。

通过AJAX建设网站的一个重要特性,它允许在访问者输入一个要求或数据时,网页只需要重新更新某一特定部分,而不用全部更新,而这其中的一个关键是访问者的浏览器可与网站服务器互动,取得服务器中的部份数据,让服务器不用担负整个网页的更新。

但是,这样的特性同时也扩大了访问者端的权限及存取服务器数据的能力,让黑客有机可乘。

据安全专家称,很多Web应用程序开发者并没有认识到,使用了Ajax技术的应用程序在客户端执行了更多的任务,同时这也暴露了许多的服务器的API,这使得这让黑客可以了解AJAX应用程序的功能,包括功能名称、数据格式、控制回圈及数据储存方式等。

据SPI的Hoffman表示,而那些建置在基础架构上的离线AJAX应用程序,像是Google Gears或Dojo等可能更容易引发数据泄露。

据Hoffman表示,像微软的Silverlight软件安全性要更强一些。

转载请标注:我爱技术网——黑帽大会:Ajax技术让网站面临更多黑客攻击