Keamanan pada Web 2.0

Web 2.0 menggunakan teknologi Ajax serta SOA. Ajax (Asynchronous JavaScript and XML) merupakan teknologi yang memungkinkan interaktivitas aplikasi web seperti aplikasi desktop GUI. Pada setiap page view, bagian tertentu dari page akan mengakses ke server, tanpa perlu merefresh kembali seluruh page. Beberapa insiden yang berkaitan dengan Ajax/JavaScript, antara lain adalah:

1. MySpace worm, ditulis oleh “Sammy”. Source code dari worm ini bisa diperoleh di http://namb.la/popular/tech.html, wawancara serta penjelasan tentang cara kerja worm ini oleh pembuatnya bisa diakses di http://blogoscoped.com/archive/2005-10-14-n81.html.
2. Yamanner worm, merupakan worm yang ditulis menggunakan JavaScript dan ditujukan untuk mengksploitasi layanan mail dari Yahoo.

Beberapa kemungkinan eksploitasi kelemahan yang bisa dilakukan antara lain adalah:

1. Vulnerability pada protokol HTTP: validasi input, autentikasi dan session management,
2. XSS
3. Injection vulnerability: SQL Injection, LDAP Injection, command/process injection, DOM Injection, CSRF Cross-site Request Forgery, cross user defacement, dan lain-lain.
4. Web services security
5. API yang remote-accessible (misalnya Google API, RESTful Yahoo/Flickr API) menuntut mekanisme keamanan yang lebih memadai.
6. XMLHTTPRequest yang terdapat pada mekanisme Ajax bisa dilacak dengan menggunakan tools plugins browser Firefox yaitu Firebug (https://addons.mozilla.org/firefox/1843/). Meskipun belum tentu merupakan masalah keamanan, bisa saja hal ini akan menuju ke kelemahan sistem.