Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Ajax is handig voor hackers'

Ajax blijkt niet alleen populair bij websites zoals Google Maps en MySpace.com, maar wordt ook steeds vaker misbruikt door hackers. Tijdens de Black Hat beveiligingsconferentie trokken presentaties over het gebruik van Ajax volle zalen. De eerste keer dat een Ajax-aanval veel aandacht kreeg, was afgelopen oktober toen een jeugdig lid van MySpace een Ajax-gebaseerde worm schreef, waarmee leden aan de vriendenlijst van de hacker werden toegevoegd. Hij wilde zich hiermee populairder laten lijken, maar het resultaat was dat MySpace een dag gesloten moest worden. Recentere gevallen zijn de Yamanner-worm van juni, die e-mailadressen van Yahoo-gebruikers verzamelde en ze doorstuurde naar spammers en Spaceflash, de software die adware installeerde bij meer dan een miljoen MySpace-gebruikers.

Hackers gebruiken AjaxSociale netwerkingsites geven een valse indruk van veiligheid, aldus Dave Cole van Symantec. 'Je verwacht niet aangevallen te worden wanneer je Joe Bob's pagina bezoekt'. MySpace geeft in een reactie aan dat veiligheidsmaatregelen zijn genomen en wanneer deze toch worden gebroken, dat dan zal worden opgetreden. Experts verwachten echter dat Ajax-aanvallen nog wijdverspreider zullen worden. Een presentatie van SPI Dynamics' Hoffman toonde aan hoe Ajax gebruikt kan worden om op websites in te breken die gebruikt worden voor het verhandelen van aandelen en transacties te manipuleren. Als voorproefje op wat komen gaat, gaf Jeremiah Grossman van WhiteHat Security een demonstratie hoe hackers via MySpace een Ajax-aanval kunnen uitvoeren en een programma diep in het interne netwerk van een bedrijf kunnen loslaten.

Door Thijs Terlouw

Nieuwsposter

07-08-2006 • 11:03

44 Linkedin Google+

Bron: USA Today

Lees meer

Britten scherpen antihackwetten aan Nieuws van 7 januari 2008
Google maakt Ajax-toolkit openbaar Nieuws van 15 december 2006
Microsoft weidt uit over Ajax-plannen Nieuws van 12 september 2006
Spammer mikt op onderbewustzijn Nieuws van 7 september 2006
Yahoo pakt worm in maildienst aan Nieuws van 14 juni 2006
Google komt met Ajax-toolkit Nieuws van 18 mei 2006
Google populair bij hackers Nieuws van 30 juli 2004

Reacties (44)

Wijzig sortering
Nogal naief gedrag wat jij vertoond...heel veel misbruik van systemen vindt juist plaats door interne en vertrouwde mensen. De techniek moet dus gewoon veilig zijn.
Een groot probleem met JavaScript is dat het toegang verleend tot in je bedrijfsnetwerk. Als ik op mijn site domain.com een js plaats die een aanroep doet naar de interne webserver op jou werk, icm een exploit, dan heb ik je zo gehacked.

Intranet, Extranet of Internet. Het is allemaal onveilig omdat de programmeurs niet denken aan bepaalde zaken. En gebruikers die bepaalde dingen niet installeren (of juist wel :+ ). Installeer NoScript in FireFox, dan kan je zelf bepalen wat je wil uitvoeren en wat niet.
Het is maar wat je een goed iets noemt...ik vind het nogal een behoorlijke workaround om het stateless zijn van het http protocol te omzeilen.
Ajax is gewoon heel veel kunst en vliegwerk door het gebuik van "extensies" (xml, javascript) op de aloude HTTP om de interactie (browser) minder "stateless" te maken.

Mijns inziens is Ajax niet DE oplossing, maar het is op het moment de enige oplossing voor directe interactie. (ipv dat je iets via HTTP naar de back-end van een webserver stuurt en dan eens een keer wat terugkrijgt, php etc.) wat ik dan maar snel even "indirecte interactie" noem.

Door het feit dat Ajax veel kunst en vliegwerk om een bestaand protocol heen is (HTTP) is dat zo en zo een concept wat veiligheids technisch niet is aan te bevelen.

Ajax is een manier van werken. niet echt een technologie. Vind "Ajax" ook een rukterm, zo'n marketisch kapstok. Mensen kunnen wel roepen "ajax is het probleem niet"....maar dat is wel zo....het is een manier van werken die steeds populairder gaat worden.....En Ajax is door haar 2-weg interactie aard per definitie al onveiliger dan strict klassiek HTTP.

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True