Десять наиболее опасных для Web 2.0 вариантов атак были опубликованы порталом Help Net Security.На сегодняшний день соответствующие системы остаются незащищенными со стороны клиентских интерфейсов и веб-браузеров, сообщает webplanet.ru. Среди уязвимостей, опасных для Web 2.0, Help Net Security выделил такие, как Cross-site scripting атаки в AJAX, XML-заражение, выполнение зараженного AJAX кода, RSS/Atom, Web Service routing issues, манипуляция параметрами SOAP, внедрение XPATH в SOAP-сообщение, RIA thick client binary manipulation.
При XML-заражении внешняя ссылка на XML-объект подвергается атаке, что может помочь взломщику получить TCP-соединение, которое запускается произвольно.
При Cross-site scripting атаках в AJAX после открытия из браузера ссылки вредоносной страницы через скрипт с уязвимостями осуществляется атака.
AJAX-вызовы с использованием запросов XML/HTTP. При помощи cookies во время совершения AJAX-запроса к сайту браузер опять авторизуется. Тем самым создается опасность для внешнего проникновения.
RSS/Atom – проникновение представляет собой содержащие Java-скрипт с ошибками RSS-потоки, попадающие в браузеры через веб-приложения. Запуск такого Java-скрипта приводит к к установке программ или краже cookies.
Web Service routing issues: недостаточная безопасность одного из промежуточных узлов может сделать доступным SOAP-сообщение в момент его пути из одной точки в другую.
Внедрение SQK, LDAP, XPATH взломщиком в узлы SOAP-сообщений обеспечивают оптимальный вариант атаки. Возможность для атаки на приложения создает недостаточная или некорректная проверка системой кода на входе. Например, Часто большие XML-файлы содержат добавленные конечным пользователем секции когда, формирующие отрывки XPATH, за счет которых уязвимым становится весь документ. Взлом провоцирует потерю данных при успешном внедрении кода.
RIA thick client binary manipulation используют управление текущими сессиями, совместные сессии, проблемные для Rich Internet Applications.