【IT168 编者按】无论何时，当一个新技术或技巧被证明是成功的时候，必然会不可避免的风靡一时。Ajax，或者叫做异步JavaScript和XML，毫无疑问在Web 2.0世界中已经取得了这种成功。不过从安全的角度来看，它或许有些被滥用了。

    【IT168 资讯】本周三在拉斯维加斯召开的黑帽子2007安全大会上，SPI实验室的专家们证明了这一观点，他们演示了好几种方法来攻击使用了Ajax技术的网站。这个公司打击了人们去创建基于Ajax的热情，成为是“早熟的Ajax-ulation”，并继续描述了如何诊断、处理和避免遭到Ajax攻击。

    为了证明开发者对增强Ajax安全的缺乏关注，SPI专家创建了一个假想的网站，叫做HackerVacations.com，在这个网站中专家使用了很多Ajax的技术和方法，有的来自教科书，有的则来自于一些其他的有关Ajax的资源。实验的结果是，网站的机票订购。座位选择和其他功能都可以被轻松的被黑客来利用。

    SPI的开发经理Bryan Sullivan表示，开发者通常按照自己所设想的方式来编写应用程序，这非常好，但是却非常片面，不能覆盖应用程序所有需要经受的考验。那些对应用程序进行攻击的人则会尝试所有可能的方式。

    SPI的首席安全专家Billy Hoffman表示，“Bryan和我对被公布在Ajax安全书籍中的差的建议感到震惊。”

    Ajax之所以如此吸引人，是因为它可以让开发者在网页上创建具有桌面应用软件体验的应用程序。Ajax的成功离不开诸如Google Maps之类的应用程序的支持，Google Maps对复杂的功能进行了分解，因此用户可以更即时的得到他们所请求的信息。

    Hoffman表示，“对于传统的Web应用程序，你可以通过植入恶意代码到服务器上，从而攻入服务器并使其宕机，”但是，JavaScript使用了大量客户端的资源，这给了任何人攻击一个基于Ajax的应用程序的路径。

    当然，这也并非完全是一个坏消息。如果程序员仔细的定义和验证它们的应用程序接受和输出的数据参数，是完全有可能写出安全的Ajax应用程序的。否则的话，尽量减少对Ajax技术的使用可能就是最好的解决办法了。