grzchr15
2007-Apr-04 20:11 UTC
JavaScript Hijacking Vulnerability Detected: script.aculo.us
JavaScript-Hijacking in den meisten Ajax-Framework möglich (Link zum Artikel: http://www.entwickler.de/zonen/portale/psecom,id,99,news,35173,p,0.html) Die Security-Abteilung von Fortify Software hat eine Sicherheitslücke dokumentiert, die sog. Web 2.0- und Ajax-Anwendungen betreffen. Diese als JavaScript-Hijacking bezeichnete Schwachstelle erlaubt den unautorisierten Zugriff auf vertrauliche Daten in JavaScript- Nachrichten durch die Ausnutzung von Zugängen ahnungsloser Anwender. Fortify hat nun hierfür eine Sicherheitsmeldung erstellt, die sowohl Details zur Schwachstelle als auch Lösungswege enthält. Fortify hat unter anderem über zehn populäre Ajax-Frameworks - darunter die von Google, Microsoft, Yahoo! sowie weitere aus dem Open- Source-Bereich analysiert und dabei festgestellt, dass nur Direct Web Remoting (DWR) 2.0 Mechanismen implementiert hat, die JavaScript- Hijacking verhindern. Alle anderen Frameworks bieten keinen Schutz davor und weisen auch in ihrer Dokumentation nicht auf die Gefahren hin. http://www.fortifysoftware.com/advisory.jsp script.aculo.us is also vunerable! --~--~---------~--~----~------------~-------~--~----~ You received this message because you are subscribed to the Google Groups "Ruby on Rails: Spinoffs" group. To post to this group, send email to rubyonrails-spinoffs-/JYPxA39Uh5TLH3MbocFFw@public.gmane.org To unsubscribe from this group, send email to rubyonrails-spinoffs-unsubscribe-/JYPxA39Uh5TLH3MbocFFw@public.gmane.org For more options, visit this group at http://groups.google.com/group/rubyonrails-spinoffs?hl=en -~----------~----~----~----~------~----~------~--~---