Amp เขียนครับ

เมื่อวานไปเจอ presentation ที่เกี่ยวกับการโจมตี Ajax application ดูแล้ว หลักๆ เหมือนจะเป็นการโจมตีที่จุดอ่อนระหว่างการรับส่งข้อมูล client กับ server ซะมากกว่า เพราะปกติเวลาเราเขียน ajax app เนี่ย จะเผลอมองกันว่า ajax กับ cgi นั้น มันเป็น app ตัวเดียวกัน ฉะนั้น จึงไว้วางใจข้อมูลที่ส่งมาจาก ajax มากไปหน่อย ซึ่งจริงๆ แล้ว ไม่ว่าจะเป็น request ที่เกิดจาก ajax หรือ client เอง cgi ก็ไม่สามารถแยกแยะได้อยู่แล้ว ว่าเป็น request จากอะไร ดังนั้น policy การจัดการกับข้อมูลที่มาจาก ajax ควรจะอยู่ในระดับเดียวกับการจัดการข้อมูลที่มาจาก client อย่างพวก การป้องกัน injection ทั้งหลาย (sql injection, js injection, html injection ... ) นี่ขาดไม่ได้เลย

ใครสนใจ เชิญดาวน์โหลดไปอ่านได้เลยครับ http://www.isecpartners.com/files/iSEC-AttackingAJAXApplications.BH2006.pdf

แก้ไขล่าสุด วันที่ 18 กรกฏาคม 2550 เวลา 23.52 น.