跳到主要內容

JavaScript會讓Web 2.0網站資料外洩

JavaScript會讓Web 2.0網站資料外洩 CNET新聞專區  03/04/2007

原始碼檢查工具製造商Fortify Software 2日發表的報告指出,JavaScript可被用來抓取未適當防衛的Web 2.0網站資料。

Fortify稱此問題為「JavaScript挾持」,並在報告中詳細解釋該主題,但對長期追蹤網路安全的人士而言,這已經不是新聞。

JavaScript是Web 2.0盛行的要角,但惡意的JavaScript,尤其是結合了日漸普遍的網站安全瑕疵,可能引發潛藏的網路攻擊。

遭挾持的惡意JavaScript可攻擊同樣使用JavaScript的許多網路應用軟體的資料傳輸機制,未獲授權的攻擊者便可藉此讀取當中機密的資料。Whitehat Security的Jeremiah Grossman去年就利用Google Gmail的同類瑕疵示範這種攻擊。由於Gmail用未防護的JavaScript傳輸資料,攻擊者可偷取Gmail用戶的通訊錄。

Fortify檢查了12種受歡迎的網路程式編寫工具,發現只有一種倖免於難。該公司表示:「只有DWR 2.0裝設了防範JavaScript挾持的機制。其他架構並未明確地提供任何防護,也沒有在使用說明中提及任何安全顧慮。」

Fortify檢查了四種伺服器整合工具組、Direct Web Remoting(DWR)、微軟ASP.Net Ajax(Atlas)、Xajax和Google Web Toolkit(GWT),及八種客端軟體組:Prototype、Script.aculo.us、Dojo、Moo.fx、jQuery、Yahoo UI、Rico和MochiKit。

要防範JavaScript挾持,Fortify建議Web 2.0應用軟體應在每一次請求納入一個難以猜出的參數,藉以拒絕惡意的請求。此外,應防止惡徒利用合法客端的功能直接執行JavaScript。(陳智文/譯)

留言

這個網誌中的熱門文章

怎麼在網路上註冊成為youbike 會員?

新版官網請參考  怎麼在網路上註冊成為youbike 會員?   http://rd-program.blogspot.tw/2014/04/youbike.html 網路的申請步驟類似,下面將以網路申請來說明申請步驟:申請的時候需要準備悠遊卡、或晶片信用卡,以及手機門號。 1. 請先登入ubike網址: http://www.youbike.com.tw/ ,登入後選擇【正體中文】,要選英文也可以啦! 2. 在螢幕的右上角選擇【註冊】。 3.點擊【開始註冊】。 4. 點擊【同意】。(沒有其他選擇?) 5. 輸入您的【手機號碼】以及【認證碼】,然後按【送出】。這時候手機會收到ubike傳來的簡訊,通之驗證碼,有四個阿拉伯數字。 6. 輸入帳號(手機號碼)、驗證碼(ubike傳到手機的簡訊)、密碼,然後按【下一步】。 7. 還沒完成喔!這裡告訴你如何租車及還車的步驟。把螢幕拉到最下面,記得勾選【我已清楚瞭解租還車步驟】,然後按【下一步】。 8. 選擇悠遊卡或是晶片信用卡,然後輸入卡片號碼,卡片號碼請參卡畫面又下方的提示位置,請注意有些卡號可能已經模糊不清,可能無法輸入。每隻手機不只可以輸入一個卡號。 9. 填寫個人姓名及Email帳號,如果不想收到相關訊息就把前面的打勾取消。按【確認】按鈕。 10. 恭喜您註冊成功,可已開始使用YouBike了。

Youbike 線上註冊會員

Youbike 線上註冊會員 https://www.youbike.com.tw/cht/f61.html youbike sitemap   網站內容快速連結  場站地圖 場站列表 服務中心資訊 預計設站地點 媒體報導 活動情報 緊急通知 營運資訊 營運成果 關於YouBike 大事記 設備介紹 租還方式 費率說明 安全騎乘 分類列表 失物招領 YouBike協尋 加入會員 會員資料管理 YouBike電子報 騎乘記錄查詢 合作夥伴 友站連結 一般文件 APP 隱私權政策 連絡我們