Cac nha nghien cuu ve bao mat
da tim thay mot dang tan cong moi thong qua Web chi nham vao cac ung dung Ajax
dang rat duoc ua chuong trong trao luu Web 2.0.
Foritfy Software, hang da tim ra lo hong moi tren voi ten goi “JavaScript
hijacking” cho rang hau het cac bo cong cu (toolkit) Ajax deu co loi nay.
“JavaScript hijacking cho phep nhung ke tan cong trai phep doc duoc du lieu
nhay cam tu cac ung dung bi loi bang phuong phap tuong tu nhu phuong phap thuong
duoc su dung de tao cac mashup (mot dang ung dung web ket hop it nhat hai dich
vu tu cac trang Web khac han nhau)” – Chess viet trong mot tai lieu huong
dan (whitepaper) da duoc cong bo.
Moi nguoi deu cho rang su phat trien cua mo hinh lap trinh Web Ajax chi co the
lam gia tang cac loi bao mat da co. Rat it nguoi nghi no co kha nang gay ra mot
loi bao mat moi, Brian Chess, “kien truc su truong” cua Fortify noi.
Phuong phap thiet ke ung dung web Ajax su dung cach thuc truyen du lieu duoi nen
cua moi trang, khong can thiet phai lam moi (refresh) toan bo lai trang ma nguoi
dung dang tuong tac. Dieu nay tao cho nguoi dung cam giac cac ung dung Web giong
nhu cac ung dung desktop. Gmail la mot trong cac ung dung Web nhu the.
Bang cach khai thac cac lo hong “JavaScript hijacking”, ke tan cong co the lay
duoc thu tu hop thu Gmail cua nan nhan hoac co the truy cap du lieu duoc truyen
qua ung dung Ajax.
Mac du Ajax la viet tat cua “Asynchronous JavaScript and XML” (JavaScript khong
dong bo va XML) nhung khong nhat thiet phai su dung XML de truyen tai. Ban co
the su dung HTML, van ban khong dinh dang (plaintext) hoac JavaScript.
Theo Chess, van de nam o chinh cho nay. Khi ung dung su dung dinh dang du lieu
JavaScript (viet tat la JSON) thay vi XML de truyen du lieu giua trinh duyet va
may phuc vu Web, no se duoc trinh duyet xu ly theo mot cach khac voi thong
thuong.
 Cac
trinh duyet su dung cac qui tac de han che noi du lieu HTML duoc mien gui toi
goi la “chinh sach cung mot nguon” ("same origin policy"), nhung qui tac nay bi
bo qua khi du lieu co dang JavaScript.
Mot website hoan toan co kha nang chay cac du lieu JavaScript dang dat tren mot
mien khac. Day la ki thuat duoc su dung tren cac ung dung Google Adsense hay
Google Maps.
Hien tai Fortify khang dinh rang ke tan cong co the khai thac lo hong nay de
dang nhap vao cac ung dung Ajax, dong gia la cac nan nhan va nhan du lieu ma ung
dung nay cung cap binh thuong duoi dang JSON.
Vi du ve mot truong hop tan cong, mot nan nhan khi da xac thuc vao ung dung Ajax
se co phan cookie dang nhap tren trinh duyet cua minh, sau do nan nhan nay bi
lua truy cap vao trang web cua ke tan cong. Trang web nay co chua cac doan ma
JavaScript thuc hien cac loi goi toi ung dung Ajax. Du lieu nhan duoc tu ung
dung se duoc gui den cho ke tan cong.
Neu ung dung Ajax la mot dich vu Webmail, ke tan cong co the lay duoc noi dung
cua hop thu den hoac so dia chi. Thuc vay, cac nghien cuu nay cua Fortify da dua
tren ket qua tim thay duoc truoc do cua Jeremiah Grossman ve loi tuong tu trong
ung dung Gmail vao nam ngoai.
Theo Fortify, co 11 trong so 12 nen tang (framework) ho da kiem tra khong co kha
nang chong do duoc nhung tan cong dang nay. Tuy nhien cong ty nay da khong kiem
thu tren cac ung dung dang hoat dong.
Cac nen tang bi loi gom co: Microsoft ASP.NET AJAX (con goi la Atlas), XAJAX va
Google Web Toolkit, Prototype, Script.aculo.us, Dojo, Moo.fx, jQuery, Yahoo! UI,
Rico, va MochiKit.
Theo Chess, nhung nha cung cap nay da duoc thong bao va ho se sua loi trong
nhung thu vien sap duoc tung ra. Cac trang whitepaper dang duoc phat hanh de
giup nhung nguoi lap ma da tung viet cac doi tuong Ajax co the xay dung them cac
bo chong do tuong tu.
Vi Ajax dang o thoi ki dau, nen day chua han la mot van de lon nhu hien tuong
tran bo dem khi moi duoc tim ra, Chess noi. Khong co nhieu ung dung Ajax lon can
phai sua loi. Do do hien nay Fortify muon cong khai ket qua tim kiem cua minh
cang rong rai cang tot de loai bo duoc van de nay ngay tu dau.
Theo VietNamNet
Article source http://w4rum.com/1278.t
| 