【IT168 专稿】编者按：Web2.0站点在攻击面前显得特别脆弱。利用数以百万的潜在网络罪犯，垃圾邮件制造者和广告软件公司正在利用Web2.0寻找成功的机会。以电子邮件传播的蠕虫和病毒不再是安全的焦点。当今的威胁围绕着不断变化的、动态的和广泛使用的互联网而不断发展......

　　根据美国一家调查机构的调查显示，超过半数的IT经理们已经对Web 2.0的商业价值情有独钟，他们对博客和Podcast的商业价值了如指掌。而且这些企业已经准备在今年就引入Web2.0。

　　但是Gartner发布了一份报告告诫企业，他们忽视了Web2.0的潜在危险。Gartner认为：并不安全的Web 2.0聚合将导致新的网络钓鱼和攻击。

　　Websense也在其“2007年安全趋势预测报告”中称：虽然Web 2.0的技术在大规模的使用，却忽视了安全问题，Web 2.0的安全问题将会逐渐增多。Web 2.0站点正在不断增长，大约前20家访问流量最高网站的80%都是这样的站点，比如MySpace和Wikipedia。内容不断变化是这类站点的特色，而且这种特点决定了不仅监控非常困难，而且很难确保相应的安全。

　　是AJAX的错吗？

　　Web 2.0只是一个笼统概念，涵括非静态、非纯网页的网站。Web2.0和过去的Web不同的是，它提供了与桌面应用非常相似的使用经验。AJAX则是实现Web2.0模式的主要技术。Google去年推出的Google Maps就是第一批向世人展示AJAX开发效果的网站之一，它提供了强大的交互能力。

　　但AJAX的“功能”不只是把网页变得更互动而已。专家认为它也给黑客提供了整垮Web服务器的渠道。虽然AJAX本身不会引发漏洞，只是它让旧有问题变得更容易发生。

　　黑帽安全大会上，有人针对AJAX的安全问题发表了评论：传统网站好比一幢没有窗子、只有一扇门的房子，而AJAX网站则是一个有数不清窗子和旋转门的房子，尽管你在前后大门上加了最安全的锁，但我还是可以从窗口钻进去。

　　以AJAX技术开发的网站将会“更容易”受到攻击，因为它和浏览器有更多互动，而且可以在用户端PC上执行JavaScript。

　　AJAX也增加了跨网站指令码（Cross-Site Scripting）的可能性，攻击者可以利用这项弱点盗取使用者帐号，发动网钓诈骗窃取信息，或甚至把恶意源代码下载到使用者电脑中。微软、eBay、雅虎与Google等网站都曾出现跨网站指令码的漏洞。