Web 2.0網站是當今網際網路新興的發展之一，這樣形態的網站到底具備什麼樣的特性？對網頁瀏覽而言，是否會產生危機？許多專家甚至指出，Web 2.0網站雖然便利，但安全性可能有疑慮，真相到底如何？
Web 2.0這個概念始於一個會議中，這個會議由O'Reilly公司和MediaLive國際公司召開。因為一些新興的公司如Google、YouTube這些網站受到高度關注，大眾開始注意到，網路泡沫化並沒有造成整個網際網路的崩潰，對於今日的社會，網路已變得更重要。一些新應用或是新軟體更是廣泛地被人們使用，漸漸地還有不可或缺的趨勢，而這些服務都有一些共通之處，顯示了當初這場泡沫化的風暴並沒有讓網路破滅掉，反而出現了新的轉機，因此，這個會議將這些新形態的應用及服務稱為Web 2.0。

為網路發展開創新時代，威脅也同步逼近
Web 2.0概念網站使用的新式網頁技術，強調和使用者之間的互動。舉個有趣的例子，Web 1.0時代的網站好比一間只有前門的房子，密不透風，一點都不親切，不會隨著住的人喜好而改變外觀，但是安全控管只要注意進出那扇門的人就可以；到了Web 2.0時代，還是只有一扇門，但門的位置可以隨使用者喜好而改變，使用者也可以加一些窗戶讓空氣流通，房子變得更漂亮，更貼近使用者的需求，但進入到房子內的方法因此越來越多，威脅隨之上升。除了正面意義外，更可能創造了一個安全威脅的新天地。

新的Web形態？
Web 2.0並沒有嚴謹的定義，但最大的特色在於更強調使用者參與、開放、互動的網路技術。其中有些甚至還運用新的技術，有別於傳統單向傳播、靜態網頁。以Google Maps為例，即是運用Ajax與Mash-up技術，使網站伺服器可以從其他網站抓取元件，像是租屋、餐廳、或犯罪資訊，以便將此類資訊整合在地圖服務上。

在Web 2.0時代的伺服器，漸漸地開始以服務為導向。一般而言，Web 2.0以Web作為平臺，它將網路看成平臺，在一個更深入的層次上，搭建一個暫存和內容發布網路，降低網路頻寬的壅塞程度。O'Reilly公司和MediaLive國際公司的會議，所畫出來的一張「Web2.0」模擬圖便揭示了許多有關「Web2.0」的核心概念。

利用集體智慧，維基百科全書（Wikipedia），就是一種利用集體智慧最好的呈現，也是最令人熟知的例子。Wiki指的是一種可在網路上開放多人協同創作的超文本系統，它允許任何網站的使用者可以快速地加入、刪除、瀏覽網頁內容，。Wiki的寫作，最後形成一種社群，眾人共享有關於這個領域的知識，使知識的內容更佳豐富。

在Web 2.0的概念下，「資料」（data）將成為重要的資產。在網際網路發達的現代，最重要的一件事，便是解決了「資訊不對稱」。沒有網際網路的時代，很多知識都是封閉的，現在所有的知識在網路上都能查得到，所以誰擁有「資料」成為一件很重要的事情。我們也必須注意到：使用者關心的隱私權和對自身資料的存取權限。以前，關於這方面的限制相當鬆散。但是隨著自我意識的抬頭，相關的保護越形重要。

因為RSS、SOAP（Simple Object Access Protocol，簡單路徑存取協定）等技術，打造一個Web 2.0時代的網站變得越來越容易，節省許多時間以致力於提供更好的服務。軟體不斷發行與升級的循環將會終結，也是特色之一（「永久的Beta 版」）。

軟體的執行開始超越單一設備的範圍。正由於這些軟體以Web為背景，可說是跨平臺的軟體。不只是Windows、Linux、Mac OS等系統，甚至在iPod、手機上也可使用。

豐富的使用者體驗，同樣是這股趨勢的特徵。分享和參與的架構所驅動的網路效應，帶動分散的、獨立的開發者，他們將各個系統和網站組合、彙集，形成改革。

安全性威脅
底下將介紹有關於「Web2.0」可能產生的8種安全性威脅。這些威脅是由Shreeraj Shah在一篇文章內所提出，根據一些Web 2.0時代所用的技術，導致可能或是已經發生的漏洞。

1.Ajax的跨網站攻擊（Cross-site scripting with Ajax）
惡意的JavaScript攻擊存在於現有的網路，在以前會用停止JavaScipt或是提醒使用者網站會使用JavaScript的方式警告使用者。在「Web2.0」的時代，JavaScript形成了一種重要的技術。許多網站都有使用JavaScript來撰寫，威脅就此產生。比方說一隻叫做Yamanner的蠕蟲便是利用這個漏洞來攻擊Yahoo提供的郵件服務。即使有些使用者的瀏覽器可以避免使用JavaScript，不過大部分的瀏覽器為了使用方便，對這方面的控制仍是相當不嚴謹，所以蠕蟲才能這麼快地流傳出去。攻擊者只需要誘使使用者去點含有惡意程式碼的連結，就能繼續攻擊下一個使用者，這種以前就存在的攻擊方式，因為Ajax技術，讓這種攻擊方式找到了新的出路。

2.XML（XML poisoning and injections）
Web 2.0常採用XML在伺服器和瀏覽器端來回溝通的技術，耗去許多來自於Ajax用戶端的XML區段，這有可能會產生阻礙。假設系統出錯，可能會造成阻斷式拒絕服務攻擊。許多攻擊者會產生錯誤的XML文件格式，使伺服器的分析過程產生中斷，如此一來，攻擊便能持續下去。藉由這種方式，攻擊者可以改變執行的程序，這個漏洞會洩漏更多的機密資訊給攻擊者。

3.惡意的Ajax執行碼（Malicious Ajax code execution）
執行Ajax呼叫時，程式在背景執行，而使用者無法是否察覺瀏覽器正在執行XML HTTP Request物件。當瀏覽器產生Ajax呼叫，網站會以cookies來回應每一筆要求，可能會導致洩密的結果。

舉例而言，使用者登入某間銀行的服務網頁，輸入了帳號、密碼，登入後，這個帳號、密碼便存在於網頁的session中，如果此時使用者瀏覽了某個惡意攻擊者撰寫的網頁，由於Ajax呼叫可以在背景執行，不被察覺，因此攻擊者便能輕易取得帳號資料。這個漏洞造成了洩漏資訊的一個機會，如此一來，重要資訊會傳給惡意的攻擊者。雖然這個漏洞本來就存在，但是Web邁入2.0後，發生的機率會大增。

4.RSS的感染危機（RSS injection）
這是一種新形態的「Web2.0」攻擊。RSS能夠產生內容摘要，那麼當網頁內容有更新時，便能通知有訂閱該網頁的使用者，簡單摘要更新的內容，讓有興趣的使用者可以造訪該網站。

由於要讓伺服器與用戶端溝通，可能會藉由感染JavaScript來產生攻擊

的動作。使用者造訪網站，訂閱RSS服務的同時，也下載了含有惡意程式碼的JavaScript，該電腦可能會被安裝一些軟體、竊取使用者的cookies檔，或者執行一些惡意程式。由於RSS服務越來越盛行，身為伺服器的管理者有必要在伺服器端先過濾掉一些關鍵字眼，阻止災害的發生。

5.WSDL的掃瞄和列舉功能（WSDL scanning and enumeration）
WSDL全名為Web Services Definition Language，是一種網頁服務的介面。為一些服務提供了重要資訊，這些資訊是非常敏感而機密的，可以用來幫助定義開發網頁的語法。但某些有心人士會利用此語法觀看是否有潛在的危險，現今社會已發現許多利用WSDL掃瞄產生的漏洞，比方說查詢WSDL對於「debug」、「override」等的定義，再從中探詢是否含有漏洞。所以有關於WSDL檔案的保護及存取控制就顯得相當重要。

6.Ajax路徑查詢上的用戶端驗證（Client side validation in Ajax routines）
使用Ajax路徑查詢（Ajax routines）服務的Web 2.0應用程式，會在使用者端電腦執行相當多的處理程序，例如驗證資料形態、文章內容、時間日期等。正常來說，這些檢查動作也會在伺服器端執行驗證，但是很多開發程式的撰寫人忽略了這一部分的動作，因為他們假設這部分已經驗證過了。因為忽略了這個動作，攻擊者便有可能會繞過關於Ajax的驗證，產生一些POST或是GET的指令，以類似SQL injection或是LDAP injection等方式發動攻擊。攻擊者可藉此插入一些惡意的程式執行攻擊。

7.網頁服務繞路議題（Web services routing issues）
有一種叫做「WS-Routing」的服務，允許SOAP訊息從各種不同的節點，經由特殊的管道進入網路。像SOAP是一種標準化的通訊規範，它的目的是為了簡化網頁伺服器從XML資料庫中存取資料時，無需花時間去格式化頁面，並能讓不同應用程式間透過HTTP通訊協定，以XML的方式交換彼此的資料，獨立於程式語言、平臺、硬體之間的差異，不受影響。當這些訊息通過各個節點，可能會透露出一些重要的信息給攻擊者。隨著網頁應用程式越來越趨向網頁服務架構的今日，利用此漏洞發動攻擊的人日漸增多，這種新協定產生的漏洞越來越值得重視，撰寫網頁程式的人必須注意自己是否洩漏出重要的訊息。

8.SOAP的參數竄改（Parameter manipulation with SOAP）
如前所述，利用SOAP溝通時需要很多參數，這裡面的動作有可能被攻擊者竄改。攻擊者可以利用各式各樣的injection，例如：SQL、LDAP、XPATH、command shell等等想辦法竄改參數、入侵系統。不正確或是不完善的驗證過程，將導致產生這項漏洞，主要是針對運行在網頁服務上的網頁應用程式所產生的新攻擊形態。

Ajax、網頁服務是存在於Web 2.0時代最重要的名詞，因為這些新發明的科技，讓整個網頁應用程式變得更多采多姿，使用者可以自訂屬於個人的網頁服務，也因此產生了更多的漏洞。

也因為這些讓使用者可以更自由地自訂服務的方式，攻擊者利用這些漏洞攻擊的門檻更往下降。享受這些新科技帶來便利的同時，資安人員不該因為這些服務都下放給使用者而掉以輕心，更應該注意這些安全議題，有效地阻止一些Web 2.0時代的的新攻擊方式。