Lỗi bảo mật web 2 0 đầu tiên lộ diện
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (120.75 KB, 3 trang )
Lỗi bảo mật Web 2.0 đầu tiên lộ diện
Trước đây các nhà phát triển web thường sử dụng Javascript để
thực hiện các tác vụ đơn giản như thay đổi hình ảnh hiển thị mỗi
con trỏ chuột đi qua hay trong các web forms. Nhưng trong thế
giới Web 2.0 Javascript ngày càng được sử dụng rộng rãi cả trong
việc truyền tải dữ liệu. Đó chính là nguyên nhân làm phát sinh
hàng loạt các vấn đề bảo mật.
Brian Chess - chuyên gia nghiên cứu hàng đầu của Fortify
Software - cho biết tin tặc có thể lừa người dùng truy cập vào một
website độc hại và đánh cắp dữ liệu bí mật của họ từ chính các ứng
dụng web chạy trên nền tảng trình duyệt. Đơn giản là bởi các máy
chủ thường không áp dụng các giải pháp bảo mật Javascript ngay
cả khi chúng được sử dụng để truyền tải dữ liệu.
"Chúng tôi đặt tên cho phương thức tấn công trên là Javascript
Hijacking. Hậu quả của nó là toàn bộ thông tin lưu trữ trên máy
chủ sẽ rơi vào tay tin tặc".
Các chuyên gia nghiên cứu của Fortify đã tiến hành thử nghiệm
hàng chục nền tảng Web 2.0 khác nhau và đưa ra kết luận rằng mọi
nền tảng đều mắc lỗi Javascript Hijacking.
"Nếu chúng ta nhìn sâu vào các ứng dụng Web 2.0 chúng ta sẽ
phát hiện được những lỗi bảo mật cho dù đó là nền tảng AJAX của
Google, Microsoft hay một hãng mã nguồn mở nào đó," ông Chess
cho biết.
Các ứng dụng web truyền thống lại không mắc lỗi như trên, ông
Chess khẳng định, đơn giản là bởi chúng không dùng Javascript để
truyền tải dữ liệu.
Hiện công nghệ Web 2.0 đã trở nên ngày một phổ biến và hầu hết
các website thương mại điện tử giờ đều ứng dụng công nghệ này.
Chính vì thế mà cần phải đầu tư thời gian thích hợp để nghiên cứu
và khắc phục mọi lỗi bảo mật.
Thực chất Jikito là một ứng dụng quét lỗi bảo mật website. Ứng
dụng này bí mật quét kiểm tra các trang web và trả về kết quả.
Jikto có thể được nhúng vào bất kỳ trang web nào - website của tin
tặc hoặc website hợp pháp - bằng cách khai thác lỗ hổng XSS
(cross-site scripting).
Jikto có thể săn lùng và phát hiện được hầu hết các lỗ hổng bảo
mật web thường thấy hoặc có thể săn lùng lỗ hổng web theo yêu
cầu. Ví dụ Jikto có thể chỉ săn lùng lỗ hổng SQL Injection trong
các trang web ngân hàng trực tuyến chẳng hạn.
Bởi vì Jikto được lập trình bằng Javascript nên công cụ này có thể
vận hành trên hầu hết các loại trình duyệt mà không hề đưa ra bất
kỳ cảnh báo nào cho người dùng. Người dùng Internet có thể chạm
mặt với một website có nhúng Jikto trên Internet mà không hề biết.
Công cụ này sẽ hoạt động chừng nào cửa sổ trình duyệt còn đang
mở và biến mất không để lại bất kỳ một dấu vết nào khi cửa sổ
trình duyệt đóng lại.
