【IT168 开源新闻】使用Ajax技术的浪潮正在让Web开发者犯下一些基本的安全错误，在他们的应用程序中留下多个安全漏洞。

    这是根据在拉斯维加斯举行的Black Hat安全大会上的安全专家得出来的结论。他们表示，在某些情况下，为了避免企业面对攻击门户打开，开发者应该有选择的使用Ajax技术。

    在一场题为“不成熟的Ajax”的演示中，SPI Dynamics的安全专家Billy Hoffman和Bryan Sullivan展示如何攻陷AJAX网站，呼吁开发人员要多加注意AJAX的安全性。

    近来Web 2.0概念大行其道，而为了提供Web 2.0服务，网站业者大量使用AJAX技术来建设网站，以让网站与浏览者之间的互动更为丰富。

    通过AJAX建设网站的一个重要特性，它允许在访问者输入一个要求或数据时，网页只需要重新更新某一特定部分，而不用全部更新，而这其中的一个关键是访问者的浏览器可与网站服务器互动，取得服务器中的部份数据，让服务器不用担负整个网页的更新。

    但是，这样的特性同时也扩大了访问者端的权限及存取服务器数据的能力，让黑客有机可乘。

    据安全专家称，很多Web应用程序开发者并没有认识到，使用了Ajax技术的应用程序在客户端执行了更多的任务，同时这也暴露了许多的服务器的API，这使得这让黑客可以了解AJAX应用程序的功能，包括功能名称、数据格式、控制回圈及数据储存方式等。

    据SPI的Hoffman表示，而那些建置在基础架构上的离线AJAX应用程序，像是Google Gears或Dojo等可能更容易引发数据泄露。

    据Hoffman表示，像微软的Silverlight软件安全性要更强一些。

    原文URL：http://www.cbronline.com/article_news.asp?guid=269108A6-C941-42BA-90C5-217AAF282396