Ajaxが招く新たなセキュリティリスク
企業はAjaxツールを取り入れて自社サイトやWebアプリケーションを改良しようと躍起になっている。しかし、未熟な開発者ではAjaxサイトに適切な保護を施すことができず、一方で攻撃者はAjaxのメリットを自らの利益とする方法を学びつつあることから、深刻な脆弱性が多数存在する事態が引き起こされるかもしれないという。
Ajaxは、いわゆるクロスサイトスクリプティング攻撃を助長する要因ともなる。クロスサイトスクリプティング攻撃とは、正規のWebサイト上で何らかのコードを実行し、ユーザーをだましたり、情報を盗んだりする行為を言う。そのほか、やはりユーザーのデータを持ち去ることを目的とする、スクリーンスクラッピングやセッションハイジャックといった類の攻撃も、Ajaxのセキュリティホールを衝くことで仕掛けやすくなる。
利点ばかりが輝いてしまっている+正に今の技術のトレンドと言う点でおきてしまうデメリットの部分ですね。Ajaxを導入する方法は大量に公開されていますが、それに伴うセキュリティ対策はこれといって見受けられないのが現状ですね。
Microsoftの「Atlas」開発ツールキットを標的とするAjax攻撃例についてのプレゼンテーションには、Black Hatの参加者らも大いに興味を引かれたようだった。
一体どんなプレゼンだったのか気になります。Atlas自体がどうこうではなくて、記事の内容からするとControl ToolkitかControl Extenderにを標的とした物だったのでしょうか??
一通り読んで見たのですが、2Pの割りに内容はかなり濃いです。AjaxやAtlasに興味がある方は正に必読の記事となっています。是非読んでおいてください。
