PhonieX
مدیر انجمن <A href="forum.majidonline.com/forums/6
لندن- شركت امنيتی Fortify Software ادعا كرده است كه تعدادی از برنامههای وب كه به منظور استفاده از تكنيك برنامه نويسی محبوب AJAX نوشته شده، با حمله كنترل Java Script آسيبپذير شدهاند.
Fortify اعلام كرده است كه اين آسيبپذيری نفوذ كننده و وخيم در 11 از 12 قالب AJAX و بنابراين در تعدادی از برنامههای Web 2.0 ارائه شده است. اين آسيبپذيری به متجاوز كمك مینمايد تا همانند يك كاربر برنامه ظاهر شود و داده ارسال شده از طريق دستورات جاوا اسكريپت را با استفاده از تگ < اسكريپت > جدا كند تا بر " سياست اصلی مشابه" كه بوسيله مرورگران وب استفاده میشود، پيشدستی نمايد.
Fortify گفته است، كنترل جاوا اسكريپت، يك مشكل همگانی به نظر میرسد. اين شركت ادعا كرده است كه تنها Direct Web Remoting (DWR)2.0 پروژهای كه طبقات جاوا را در سرور از جاوا اسكريپت توليد میكند، از حمله مصون میباشد، اما اين شركت اعلام كرده است كه راه حلهايی قابل دسترس هستند و يا برای ساير قالبهای AJAX عملی میباشند. و نيز اضافه كرد كه حتی اگر برنامهها، هيچ قالب AJAX آسيبپذيری را به طور مستقيم استفاده ننمايند، اگر آنان جزئيات AJAX را دارا باشند كه از جاوا اسكريپت به عنوان شيوه انتقال داده استفاده میكنند، ممكن است در خطر باشند.
Fortify، محصول Web 2.0 Security Advisory را آماده نموده است كه بنا به گفته اين شركت، اين محصول به توسعه دهندگان و شركتها كمك میكند تا مشكل را تشخيص و حل نمايند . اين شركت از تماس دوطرفهای كه به برنامه اجازه كاهش نيازهای بدخواه را میدهد حمايت میكند و از اينكه متجاوزان بطور مستقيم توليد برنامههای جاوا اسكريپت را اجرا نمايند، جلوگيری میكند. هم اكنون چندين محقق امنيتی ديگر مثل Jeremiah Grossman محقق امنيتی مستقل و مدير ارشد تكنولوژی White Hat Security ثابت كردهاند كه آسيبپذيری در نمونههای خاصی میباشد.
Grossman گفته است كه تكنولوژی جديد برای اقامه آسيبپذيریهای جديد ارائه شده است، بنابراين توسعه دهندگان نياز دارند تا بطور دقيقی مرحله توسعه خود را زير نظر داشته باشند تا اطمينان حاصل نمايند كه در زمانيكه زمينه جديدی را ارائه میدهند، امنيت را در اكانت بدست میآورند. توسعه دهندگان و ساير افرادی كه عهدهدار بكارگيری Web 2.0 میباشند، نياز به كسب اين تكنولوژی و حل هر چه سريعتر مشكل برای سرويسهای خويش دارند.
منبع:http://pcworldiran.com/news/fn_860040.htm
Fortify اعلام كرده است كه اين آسيبپذيری نفوذ كننده و وخيم در 11 از 12 قالب AJAX و بنابراين در تعدادی از برنامههای Web 2.0 ارائه شده است. اين آسيبپذيری به متجاوز كمك مینمايد تا همانند يك كاربر برنامه ظاهر شود و داده ارسال شده از طريق دستورات جاوا اسكريپت را با استفاده از تگ < اسكريپت > جدا كند تا بر " سياست اصلی مشابه" كه بوسيله مرورگران وب استفاده میشود، پيشدستی نمايد.
Fortify گفته است، كنترل جاوا اسكريپت، يك مشكل همگانی به نظر میرسد. اين شركت ادعا كرده است كه تنها Direct Web Remoting (DWR)2.0 پروژهای كه طبقات جاوا را در سرور از جاوا اسكريپت توليد میكند، از حمله مصون میباشد، اما اين شركت اعلام كرده است كه راه حلهايی قابل دسترس هستند و يا برای ساير قالبهای AJAX عملی میباشند. و نيز اضافه كرد كه حتی اگر برنامهها، هيچ قالب AJAX آسيبپذيری را به طور مستقيم استفاده ننمايند، اگر آنان جزئيات AJAX را دارا باشند كه از جاوا اسكريپت به عنوان شيوه انتقال داده استفاده میكنند، ممكن است در خطر باشند.
Fortify، محصول Web 2.0 Security Advisory را آماده نموده است كه بنا به گفته اين شركت، اين محصول به توسعه دهندگان و شركتها كمك میكند تا مشكل را تشخيص و حل نمايند . اين شركت از تماس دوطرفهای كه به برنامه اجازه كاهش نيازهای بدخواه را میدهد حمايت میكند و از اينكه متجاوزان بطور مستقيم توليد برنامههای جاوا اسكريپت را اجرا نمايند، جلوگيری میكند. هم اكنون چندين محقق امنيتی ديگر مثل Jeremiah Grossman محقق امنيتی مستقل و مدير ارشد تكنولوژی White Hat Security ثابت كردهاند كه آسيبپذيری در نمونههای خاصی میباشد.
Grossman گفته است كه تكنولوژی جديد برای اقامه آسيبپذيریهای جديد ارائه شده است، بنابراين توسعه دهندگان نياز دارند تا بطور دقيقی مرحله توسعه خود را زير نظر داشته باشند تا اطمينان حاصل نمايند كه در زمانيكه زمينه جديدی را ارائه میدهند، امنيت را در اكانت بدست میآورند. توسعه دهندگان و ساير افرادی كه عهدهدار بكارگيری Web 2.0 میباشند، نياز به كسب اين تكنولوژی و حل هر چه سريعتر مشكل برای سرويسهای خويش دارند.
منبع:http://pcworldiran.com/news/fn_860040.htm
