JavaScript會讓Web 2.0網站資料外洩 CNET新聞專區 03/04/2007
原始碼檢查工具製造商Fortify Software 2日發表的報告指出,JavaScript可被用來抓取未適當防衛的Web 2.0網站資料。
Fortify稱此問題為「JavaScript挾持」,並在報告中詳細解釋該主題,但對長期追蹤網路安全的人士而言,這已經不是新聞。
JavaScript是Web 2.0盛行的要角,但惡意的JavaScript,尤其是結合了日漸普遍的網站安全瑕疵,可能引發潛藏的網路攻擊。
遭挾持的惡意JavaScript可攻擊同樣使用JavaScript的許多網路應用軟體的資料傳輸機制,未獲授權的攻擊者便可藉此讀取當中機密的資料。Whitehat Security的Jeremiah Grossman去年就利用Google Gmail的同類瑕疵示範這種攻擊。由於Gmail用未防護的JavaScript傳輸資料,攻擊者可偷取Gmail用戶的通訊錄。
Fortify檢查了12種受歡迎的網路程式編寫工具,發現只有一種倖免於難。該公司表示:「只有DWR 2.0裝設了防範JavaScript挾持的機制。其他架構並未明確地提供任何防護,也沒有在使用說明中提及任何安全顧慮。」
Fortify檢查了四種伺服器整合工具組、Direct Web Remoting(DWR)、微軟ASP.Net Ajax(Atlas)、Xajax和Google Web Toolkit(GWT),及八種客端軟體組:Prototype、Script.aculo.us、Dojo、Moo.fx、jQuery、Yahoo UI、Rico和MochiKit。
要防範JavaScript挾持,Fortify建議Web 2.0應用軟體應在每一次請求納入一個難以猜出的參數,藉以拒絕惡意的請求。此外,應防止惡徒利用合法客端的功能直接執行JavaScript。(陳智文/譯)
分享到:
相关推荐
WEB2.0是互联网发展的一个重要阶段,它强调互动性、社区参与和用户体验的提升,相较于早期的静态网页,WEB2.0网站更注重动态内容和用户交互。 网页模版,如"WEB2.0网站模板",是预先设计好的网页布局和样式,通常...
这个使用教程将深入探讨如何利用CSS、JavaScript和ASP等技术来构建和优化Web2.0应用。 一、CSS(层叠样式表) CSS是控制网页样式并实现页面布局的重要工具。在Web2.0中,CSS用于创建美观、响应式和易于阅读的界面。...
标题:Web 2.0与Ajax 描述:探讨了Web 2.0和Ajax的核心概念,包括它们在现代网络应用中的角色和影响。 标签:Ajax 部分内容:提到了Jim Driscoll对Web 2.0和Ajax的讲解,涵盖了定义、历史背景、Web 2.0的例子以及...
Web2.0的游戏通常利用这些特性,让玩家能够参与到游戏设计、内容创建和社交互动中。 HTML5是Web开发的最新标准,它极大地扩展了Web应用程序的能力。HTML5引入了新的元素、API和功能,使得开发者可以创建更复杂、更...
《ArcGIS Server JavaScript API开发GeoWeb 2.0应用》一书由刘光和唐大仕共同撰写,主要探讨了如何使用ArcGIS Server的JavaScript API来构建GeoWeb 2.0应用程序。GeoWeb 2.0是地理信息系统(GIS)在互联网上的一个...
Web2.0技术标准鼓励使用合适的元标签、关键词、内链等策略,以提高网站的可见性和访问量。 总的来说,Web2.0技术标准推动了互联网的互动性和用户体验的提升,它涵盖了前端展示、后端交互、内容分发等多个方面,构建...
### Web2.0资源链接集合相关知识点 #### 1. Web2.0概念与特性 - **定义**:Web2.0是指互联网发展的第二阶段,强调用户参与、互动和社交功能,用户不仅是信息的消费者,也是信息的创造者。 - **特性**: - 用户生成...
在实际开发过程中,开发者可能会参考现有的开源库,如DevExpress、Telerik等,它们提供了大量的Web2.0控件和模板,可以快速集成到项目中。此外,还可以使用ASP.NET MVC或ASP.NET Core框架来开发更现代、更轻量级的...
【标题】:“Web2.0网站模板” 【描述】:“包含PSD图和模板代码,是精心收藏并分享的资源。如果你下载后觉得不满意,尽管批评我。” 在互联网发展的历程中,Web2.0概念的出现标志着网络从单一的信息发布平台转变...
《PHP+Ajax Web2.0编程技术与项目开发大全》是一部深入探讨现代Web开发的著作,其中涵盖了PHP作为服务器端脚本语言与Ajax(异步JavaScript和XML)技术结合使用,构建动态、交互性强的Web2.0应用程序的精髓。...
### Web2.0网站性能调优实践:关键知识点解析 #### 一、Web2.0网站性能优化的重要性 Web2.0网站强调交互性和实时性,其核心在于提供快速、稳定的服务体验。对于用户而言,服务速度和稳定性是首要考虑的因素,这...
在Java Web 2.0开发中,我们主要会涉及到以下核心知识点: 1. **Servlet与JSP**:Servlet是Java编写服务器端程序的标准接口,用于扩展服务器的功能,处理HTTP请求。JSP(JavaServer Pages)则是一种动态网页技术,...
《Web2.0动态网站开发-JSP》是一本专注于利用JSP技术构建现代Web应用程序的教程。这本书的配套光盘包含了一系列与Web2.0相关的资源,帮助读者深入理解和实践JSP在创建交互式、富互联网应用(RIA)中的应用。 JSP...
6. **AJAX(Asynchronous JavaScript and XML)**:AJAX技术让Web应用可以异步更新部分页面,无需完全刷新,提升了用户体验。现在,通常使用jQuery或AngularJS等库实现AJAX。 7. **JavaScript框架**:在Web 2.0中,...
“易语言WEB浏览器2.0支持库”提供了全面的API接口,涵盖了网页加载、页面控制、JavaScript交互等多个方面。开发者可以通过这些接口,实现对网页的加载、暂停、前进、后退、刷新等一系列操作。同时,支持库还允许...
### Web 2.0编程思想:16条法则 #### 法则一:明确目标与需求 在开发任何Web 2.0应用之前,需要明确其核心价值与目标。这包括确定应用程序的主要功能(如标签、评论、编辑页面等),并确保这些功能能够满足用户的...
《精通Web2.0》是一本深入探讨Web2.0技术的专业资料,旨在帮助读者全面理解和掌握这一领域的核心概念、技术和应用。Web2.0,是互联网发展的一个重要阶段,它标志着从静态网页向动态、交互式网络体验的转变。这个阶段...