Lỗi bảo mật Web 2.0 đầu tiên lộ diện

Trước đây các nhà phát triển web thường sử dụng Javascript để thực hiện các tác vụ đơn giản như thay đổi hình ảnh hiển thị mỗi con trỏ chuột đi qua hay trong các web forms. Nhưng trong thế giới Web 2.0 Javascript ngày càng được sử dụng rộng rãi cả trong việc truyền tải dữ liệu. Đó chính là nguyên nhân làm phát sinh hàng loạt các vấn đề bảo mật. Brian Chess - chuyên gia nghiên cứu hàng đầu của Fortify Software - cho biết tin tặc có thể lừa người dùng truy cập vào một website...
Nội dung trích xuất từ tài liệu:
Lỗi bảo mật Web 2.0 đầu tiên lộ diện Lỗi bảo mật Web 2.0 đầu tiên lộ diện Trước đây các nhà phát triển web thường sử dụng Javascript để thực hiện các tác vụ đơn giản như thay đổi hình ảnh hiển thị mỗi con trỏ chuột đi qua hay trong các web forms. Nhưng trong thế giới Web 2.0 Javascript ngày càng được sử dụng rộng rãi cả trong việc truyền tải dữ liệu. Đó chính là nguyên nhân làm phát sinh hàng loạt các vấn đề bảo mật. Brian Chess - chuyên gia nghiên cứu hàng đầu của Fortify Software - cho biết tin tặc có thể lừa người dùng truy cập vào một website độc hại và đánh cắp dữ liệu bí mật của họ từ chính các ứng dụng web chạy trên nền tảng trình duyệt. Đơn giản là bởi các máy chủ thường không áp dụng các giải pháp bảo mật Javascript ngay cả khi chúng được sử dụng để truyền tải dữ liệu. Chúng tôi đặt tên cho phương thức tấn công trên là Javascript Hijacking. Hậu quả của nó là toàn bộ thông tin lưu trữ trên máy chủ sẽ rơi vào tay tin tặc. Các chuyên gia nghiên cứu của Fortify đã tiến hành thử nghiệm hàng chục nền tảng Web 2.0 khác nhau và đưa ra kết luận rằng mọi nền tảng đều mắc lỗi Javascript Hijacking. Nếu chúng ta nhìn sâu vào các ứng dụng Web 2.0 chúng ta sẽ phát hiện được những lỗi bảo mật cho dù đó là nền tảng AJAX của Google, Microsoft hay một hãng mã nguồn mở nào đó, ông Chess cho biết. Các ứng dụng web truyền thống lại không mắc lỗi như trên, ông Chess khẳng định, đơn giản là bởi chúng không dùng Javascript để truyền tải dữ liệu. Hiện công nghệ Web 2.0 đã trở nên ngày một phổ biến và hầu hết các website thương mại điện tử giờ đều ứng dụng công nghệ này. Chính vì thế mà cần phải đầu tư thời gian thích hợp để nghiên cứu và khắc phục mọi lỗi bảo mật. Thực chất Jikito là một ứng dụng quét lỗi bảo mật website. Ứng dụng này bí mật quét kiểm tra các trang web và trả về kết quả. Jikto có thể được nhúng vào bất kỳ trang web nào - website của tin tặc hoặc website hợp pháp - bằng cách khai thác lỗ hổng XSS (cross-site scripting). Jikto có thể săn lùng và phát hiện được hầu hết các lỗ hổng bảo mật web thường thấy hoặc có thể săn lùng lỗ hổng web theo yêu cầu. Ví dụ Jikto có thể chỉ săn lùng lỗ hổng SQL Injection trong các trang web ngân hàng trực tuyến chẳng hạn. Bởi vì Jikto được lập trình bằng Javascript nên công cụ này có thể vận hành trên hầu hết các loại trình duyệt mà không hề đưa ra bất kỳ cảnh báo nào cho người dùng. Người dùng Internet có thể chạm mặt với một website có nhúng Jikto trên Internet mà không hề biết. Công cụ này sẽ hoạt động chừng nào cửa sổ trình duyệt còn đang mở và biến mất không để lại bất kỳ một dấu vết nào khi cửa sổ trình duyệt đóng lại.