黑帽大会：Ajax技术让网站面临更多黑客攻击

使用Ajax技术的浪潮正在让Web开发者犯下一些基本的安全错误，在他们的应用程序中留下多个安全漏洞。

这是根据在拉斯维加斯举行的Black Hat安全大会上的安全专家得出来的结论。他们表示，在某些情况下，为了避免企业面对攻击门户打开，开发者应该有选择的使用Ajax技术。

在一场题为不成熟的Ajax的演示中，SPI Dynamics的安全专家Billy Hoffman和Bryan Sullivan展示如何攻陷AJAX网站，呼吁开发人员要多加注重AJAX的安全性。

近来Web 2.0概念大行其道，而为了提供Web 2.0服务，网站业者大量使用AJAX技术来建设网站，以让网站与浏览者之间的互动更为丰富。

通过AJAX建设网站的一个重要特性，它答应在访问者输入一个要求或数据时，网页只需要重新更新某一特定部分，而不用全部更新，而这其中的一个要害是访问者的浏览器可与网站服务器互动，取得服务器中的部份数据，让服务器不用担负整个网页的更新。

但是，这样的特性同时也扩大了访问者端的权限及存取服务器数据的能力，让黑客有机可乘。

据安全专家称，很多Web应用程序开发者并没有熟悉到，使用了Ajax技术的应用程序在客户端执行了更多的任务，同时这也暴露了许多的服务器的API，这使得这让黑客可以了解AJAX应用程序的功能，包括功能名称、数据格式、控制回圈及数据储存方式等。

据SPI的Hoffman表示，而那些建置在基础架构上的离线AJAX应用程序，像是Google Gears或Dojo等可能更轻易引发数据泄露。

据Hoffman表示，像微软的Silverlight软件安全性要更强一些。