Wiadomości
Dziurawy AJAX
22 sierpnia 2005 12:24,
Dariusz Niedzielewski
Wykryto lukę w zabezpieczeniach programu narzędziowego CPAINT, używanego do tworzenia aplikacji w nowej technologii AJAX (Java Script + XML). Sprawa jest istotna, ponieważ z zalet łatwego uatrakcyjniania swoich serwisów internetowych skorzystali już tacy potentaci, jak AOL, Google, Microsoft czy Yahoo.
AJAX (Asynchrous JavaScript and XML) jest technologią, pozwalającą szybko i nieskomplikowanie wprowadzać dynamiczne dodatki do aplikacji sieciowych (WWW). Jest połączeniem znanego języka skryptowego JavaScript oraz uniwersalnego rozwiązania XML. Dodatkowo wspiera zwykły HTML, style CSS oraz struktury DOM (Document Object Models).
Luka, wykryta w popularnym narzędziu wspomagającym tworzenie aplikacji w technologii AJAX - programie CPAINT - pozwala na zdalne wykonywanie nieautoryzowanego kodu umieszczonego na serwerze, na którym działa CPAINT lub też w aplikacji zbudowanej za pomocą tego narzędzia. Ujawniona dziura w systemie zabezpieczeń programu odnosi się do wszystkich jego wersji. Są już dostępne odpowiednie poprawki do najbardziej rozpowszechnionej wersji CPAINT - v.1.3 SP.
Technologia AJAX została bardzo pozytywnie przyjęta przez największe firmy z branży usług sieciowych. Google zastosowała AJAX w swoich aplikacjach Google Maps, Google Suggest, Gmail. Microsoft użył nowej technologii w MSN Virtual Earth. Inne aplikacje korzystające z AJAX, to Flickr (Yahoo) oraz AIM Mail (AOL).
Jak podkreślają specjaliści, odkryta luka nie jest przypisania jedynie do narzędzia CPAINT. Problem jest szerszy i również inne programy do implementacji AJAX mogą stać się obiektem ataków ze strony, świadomych istnienia dziury, internautów.
Luka, wykryta w popularnym narzędziu wspomagającym tworzenie aplikacji w technologii AJAX - programie CPAINT - pozwala na zdalne wykonywanie nieautoryzowanego kodu umieszczonego na serwerze, na którym działa CPAINT lub też w aplikacji zbudowanej za pomocą tego narzędzia. Ujawniona dziura w systemie zabezpieczeń programu odnosi się do wszystkich jego wersji. Są już dostępne odpowiednie poprawki do najbardziej rozpowszechnionej wersji CPAINT - v.1.3 SP.
Technologia AJAX została bardzo pozytywnie przyjęta przez największe firmy z branży usług sieciowych. Google zastosowała AJAX w swoich aplikacjach Google Maps, Google Suggest, Gmail. Microsoft użył nowej technologii w MSN Virtual Earth. Inne aplikacje korzystające z AJAX, to Flickr (Yahoo) oraz AIM Mail (AOL).
Jak podkreślają specjaliści, odkryta luka nie jest przypisania jedynie do narzędzia CPAINT. Problem jest szerszy i również inne programy do implementacji AJAX mogą stać się obiektem ataków ze strony, świadomych istnienia dziury, internautów.
Komentarze (0)
- Prawo Moore’a zagrożone?
- Bezpieczeństwo WiFi - bezprzewodowe testy penetracyjne
- Wirtualizacja: obsługa SMB na czterech U
- Prawdziwe powody powstania Microsoft Open Technologies
- Open source: zmierzch ery GPL? Nie do końca...
- ROVER - prosty sposób na słabość BGP?
- Zaawansowane stacje Wi-Fi Ruckus Wireless
- Rozstanie z Javą nie będzie proste
- Google Drive uwypukla słabe strony publicznych chmur obliczeniowych
- Serwery "zombie" w centrum danych
Reklama
Huawei celuje w rynek biznesowy
Huawei nieustannie rozwija się jako dostawca infrastruktury dla branży telekomunikacyjnej. W tym roku chiński koncern zamierza umocnić swoją pozycję również na rynku rozwiązań Enterprise.
Polecane
Koniec Windows XP początkiem problemów?
Microsoft oficjalnie potwierdził, że za dwa lata definitywnie zakończy się era Windows XP - systemu operacyjnego,...
Spokój i luz administratora
Wymagania wobec pracowników działów IT rosną proporcjonalnie do stopnia rozwoju teleinformatyki. Oczekuje się, że...