Ajax Hacking

随着Ajax技术的广泛应用，攻击者也开始利用这一技术展开攻击。近期，百度空间在开通时并未明确提及使用了Web 2.0技术，但从其测试版（beta）和页面模板架构等迹象可以看出，它实际上已经融入了Ajax技术。仅仅开通不到半个月，针对该平台的攻击便悄然诞生。

为了应对这一攻击，百度迅速作出反应，过滤了提交表单中的JavaScript，这使得普通用户在博客中无法贴入Flash动画。攻击者很快找到了漏洞，发现百度只是过滤了CSS文本中的特定字符串，如"javascript"和"expression"。只要将"javascript"等敏感词汇分行写，就能绕过百度的过滤并在IE中被执行。这一发现使得蠕虫变种应运而生，它们在用户的CSS中加入特定代码，从而实现对用户空间的操控。

这一事件再次提醒我们，技术的双刃剑特性要求我们既要享受其带来的便利，也要警惕其潜在的安全风险。对于百度空间这样的社交平台来说，保障用户数据安全、防止恶意攻击是至关重要的。希望百度能够尽快完善安全措施，过滤掉这些恶意代码，确保用户的安全和隐私。用户自身也应提高警惕，谨慎操作，避免不必要的风险。当我们谈论Web 2.0的崛起时，我们不得不关注一种名为Rss（Really Simple Syndication）的攻击方式。这种攻击方式具有广泛的影响，尤其对于那些热衷于Web 2.0的读者和博主们。我从Joris Evers的一篇报道中了解到这一信息，这篇报道的主题是“Blog feeds may carry security risks”。

Rss阅读器，无论是线上还是离线，几乎都没有对Rss中的脚本进行有效地过滤。这使得攻击者有机会在Rss流中注入恶意的javascript代码，从而引发xss跨站攻击，获取用户信息或其他敏感数据。一些广受欢迎的Rss阅读器，如Bloglines、RSS Reader、RSS Owl、Feed Demon以及Sharp Reader等，都未能幸免。

让我们回顾一下去年发生在Yahoo rss上的一起事件。通过一段特殊的xss代码，攻击者成功地让用户的浏览器跳转到特定的并弹出对话框显示用户的cookie信息。这仅仅是Web 2.0世界中的一个缩影。事实上，早在去年，MySpace交友网站上就出现了利用JavaScript蠕虫代码的攻击。这段利用Ajax方法的代码让无数用户在不知情的情况下被加入好友名单，并在他们的个人简介中自动添加“samy is my hero”的字样。这个蠕虫被称为世界上第一个“web2.0蠕虫”。

除了上述的Rss和MySpace的例子，Web 2.0的攻击方式还有很多。例如，通过利用Ajax处理网页加载时产生的众多数据交换中的任何一个，黑客可能控制你的个人电脑。尽管当前系统对补丁的发布都是实时更新，很难通过溢出获得shell，但这并不意味着我们可以忽视Web 2.0的安全风险。而sql注入虽然已经肆虐网络数年，但有效的防范方法仍在不断进化。随着Python和Ruby的兴起，新的Web 2.0服务如Plone正在逐渐取代现有的Web结构。只要浏览器对xhtml和javascript的解释存在，我们就始终有被攻击的可能。

面对日益壮大的Web 2.0大军，你是否愿意成为其中的一员？这个充满活力和创新的世界既带来了便利也带来了挑战。在享受Web 2.0带来的便捷和乐趣的我们必须时刻保持警惕，确保我们的信息安全。这是一个值得我们去和挑战的领域，让我们一起在Web 2.0的世界中寻找更多的可能性吧！