Công nghệ AJAX ẩn chứa những lỗ hổng nghiêm trọng

Các ứng dụng AJAX xuất hiện ngày một nhiều đồng nghĩa với việc doanh nghiệp và người sử dụng phải đương đầu với những nguy cơ bảo mật mới. Tuy nhiên, các chuyên gia phát triển có vẻ không nhận thức đầy đủ về mối hiểm họa này.

“Thông thường, tấn công một ứng dụng qua lớp web dễ hơn nhiều so với việc cố xuyên qua tường lửa hoặc tìm đường vòng tránh các hệ thống chống xâm nhập”, Billy Hoffman, Trưởng nhóm nghiên cứu thuộc công ty bảo mật Spi Dynamics (Mỹ), cho hay.

Nguồn: digital-advocate

Đối với người sử dụng, AJAX là phương pháp lập trình giúp website hoạt động nhanh và mang tính tương tác hơn. Google đã giới thiệu công cụ AJAX cho phép người dùng tích hợp kết quả tìm kiếm trực tiếp ngay trên trang web của họ. Các ứng dụng AJAX phổ biến khác là site chia sẻ ảnh Flickr và trang tin tức Digg.

Tuy nhiên, dịch vụ e-mail hỗ trợ tổ hợp công nghệ này của Yahoo đã gặp lỗi bảo mật nghiêm trọng hồi hè năm ngoái. Kẻ tấn công đã phát tán một thông điệp chứa mã độc để truy cập e-mail của nạn nhân, tải danh sách địa chủ và gửi thư rác từ chính tài khoản bị đột nhập.

Mối nguy hiểm dạng này còn được gọi là XSS (cross-site scripting) do chúng có thể mở rộng ra một vài dịch vụ khác. XSS đang nhanh chóng trở thành hình thức tấn công trực tuyến phổ biến nhất đối với hacker. Salesforce.com, PayPal và Google đều đã phải sửa lỗi bảo mật XSS trong các phần mềm của họ.

Trong khi đó, giới phát triển web thường không chú ý đến việc bảo mật các đoạn mã do họ thường là chuyên gia thiết kế đồ họa, còn các chuyên gia phần mềm tạo mã cho web lại hay tỏ ra chủ quan. Hơn nữa, rất nhiều chương trình hướng dẫn sử dụng AJAX chứa đầy lỗi cơ bản mà các nhà phát triển web không hề hay biết.