JavaScript會讓Web 2.0網站資料外洩

JavaScript會讓Web 2.0網站資料外洩 CNET新聞專區　　03/04/2007

原始碼檢查工具製造商Fortify Software 2日發表的報告指出，JavaScript可被用來抓取未適當防衛的Web 2.0網站資料。

Fortify稱此問題為「JavaScript挾持」，並在報告中詳細解釋該主題，但對長期追蹤網路安全的人士而言，這已經不是新聞。

JavaScript是Web 2.0盛行的要角，但惡意的JavaScript，尤其是結合了日漸普遍的網站安全瑕疵，可能引發潛藏的網路攻擊。

遭挾持的惡意JavaScript可攻擊同樣使用JavaScript的許多網路應用軟體的資料傳輸機制，未獲授權的攻擊者便可藉此讀取當中機密的資料。Whitehat Security的Jeremiah Grossman去年就利用Google Gmail的同類瑕疵示範這種攻擊。由於Gmail用未防護的JavaScript傳輸資料，攻擊者可偷取Gmail用戶的通訊錄。

Fortify檢查了12種受歡迎的網路程式編寫工具，發現只有一種倖免於難。該公司表示：「只有DWR 2.0裝設了防範JavaScript挾持的機制。其他架構並未明確地提供任何防護，也沒有在使用說明中提及任何安全顧慮。」

Fortify檢查了四種伺服器整合工具組、Direct Web Remoting（DWR）、微軟ASP.Net Ajax（Atlas）、Xajax和Google Web Toolkit（GWT），及八種客端軟體組：Prototype、Script.aculo.us、Dojo、Moo.fx、jQuery、Yahoo UI、Rico和MochiKit。

要防範JavaScript挾持，Fortify建議Web 2.0應用軟體應在每一次請求納入一個難以猜出的參數，藉以拒絕惡意的請求。此外，應防止惡徒利用合法客端的功能直接執行JavaScript。（陳智文/譯）