آسیب پذیری در فناوری AJAX تهدیدی برای Web 2.0

[hossein.shokrzadeh]

«ميخواستم تو بخش امنيت بزنم كه نشد»

شرکت نرم افزاری Fortify از آسیب پذیری در فناوری AJAX خبر میدهد که آنرا "فراگیر و بحرانی" نام برده است و خواستار عکس العمل سریع توسعه دهندگان شده است.

کارشناسان Fortify معتقد هستند که تعداد گسترده ای از برنامه های کاربردی تحت Web 2.0 نسبت به اشکال امنیتی ویژه ای در زبان JavaScript آسیب پذیر می باشند و به توسعه دهندگان این ابزارها اخطار داده اند که هرچه زودتر ساختار امنیتی برنامه های خود را امن نمایند.

برطبق گزارش امنیتی رسمی از شرکت Fortify ، آسیب پذیری در حدود 12 ساختار محبوب AJAX را آلوده کرده است و تعداد زیادی از ابزارهای تحت وب 2.0 نیز در ریسک خطر این آسیب پذیری می باشند. در ساده ترین روش حمله، مهاجم می تواند توسط یک سند جعلی XML و بکارگیری روش در خواست Cross-site برنامه کاربردی تحت وب را مورد حمله قرار دهد.

این آسیب پذیری با نام "JavaScipt hijacking" شناخته می شود که اجازه دسترسی غیر مجاز به داده های محرمانه درون پیغام های JavaScript را صادر می کند. برنامه های تحت وب قدیمی تر که از مکانیزم حمل داده ها توسط جاوا اسکریپت استفاده نمی کنند شامل این آسیب پذیری نخواهند بود.

سوء استفاده از آسیب پذیری های جاوا اسکریپت بحث جدیدی نیست و در گذشته نیز ابزارهای بسیاری از جمله مرورگرهای وب از آسیب پذیری نسبت به زبان جاوا اسکریپت صدمه دیده اند.

"Jeremiah Grossman" رئیس فناوری سازمان WhiteHat Security می گوید:" همه چیز در دست توسعه دهندگان می باشد و هیچ کس دیگر توان رسیدگی به این اشکال را نخواهد داشت."

هم اکنون دو راه حل جداگانه از سوی شرکت Fortify به برنامه نویسان پیشنهاد شده است که می توانند با مطالعه گزارش آسیب پذیری اقدام به اجرای دستورات آن کنند.همچنین Fortify خاطر نشان کرده است که این اشکال به مهمترین و محبوب ترین ساختار های توسعه (Frameworks) مربوط به فناوری AJAX گزارش شده است تا بتوانند هرچه زودتر در نسخه آینده آسیب پذیری مربوطه را رفع نمایند.

اما این مسئله زمانی پیچیدگی خود را ثابت می کند که با تعداد زیادی ساختار متفاوت برنامه نویسی و افراد متفاوتی مواجه می شویم که هر کدام به گونه ای از فناوری AJAX بهره می برند و همه آنها میبایست از وجود این آسیب پذیری مطلع شوند.

نقل از SecurityFocus