AJAX soffre di JavaScript Hijacking

«Fortify Software Security Research ha annunciato una nuova classe di vulnerabilità: JavaScript Hijacking. Trattasi della prima classe di vulnerabilità che colpisce specificatamente le applicazioni Ajax del Web 2.0»: l’analisi Fortify affonda nei tecnicismi ed introduce il problema partendo dall’indicazione nel tag <script> come origine del possibile attacco. La ricerca è stata estesa sui 12 frameworks Ajax più conosciuti: «Direct Web Remoting (DWR), Microsoft ASP.NET Ajax (a.k.a. Atlas), xajax, Google Web Toolkit (GWT), Prototype, Script.aculo.us, Dojo, Moo.fx, jQuery, Yahoo! UI, Rico e MochiKit».

Tra tutti i framework solo uno risulta uscire a testa alta dall’indagine: DWR 2.0, infatti, è l’unico in grado di prevenire i tentativi di JavaScript Hijacking. Alla luce della prepotente esplosione degli strumenti Ajax disponibili in rete il problema risulta essere tutt’altro che trascurabile ed imporrà anche ai responsabili dei framework particolari interventi di adeguamento. Se la vulnerabilità è nuova, più vecchio è invece il monito proveniente dagli esperti di sicurezza e relativo al pericolo esistente nel mondo Ajax: il caso Yamanner ed una antecedente vulnerabilità in Gmail ne sono la riprova.

Secondo quanto indicato, la gran parte delle applicazioni Ajax in rete sarebbe vulnerabile a causa di codice perfettibile: Fortify ritiene sottovalutato il problema ed incoraggia i responsabili ad un intervento risolutivo per soffocare ogni possibile situazione di rischio. Microsoft spiega a eWeek che indagini specifiche sarebbero in corso, ma al momento nessun attacco specifico sarebbe stato rilevato in rete. Google da par suo ha pubblicato nelle ultime ore una piccola guida illustrativa per indicare le modalità utili a rendere sicura la propria esperienza sul Google Web Toolkit (GWT).