WEB开发网
开发学院网络安全安全技术 Web2.0客户端组件漏洞扫描(一) 阅读

Web2.0客户端组件漏洞扫描(一)

 2007-07-10 13:04:41 来源:WEB开发网   
核心提示:一、介绍Web2.0 是几项技术的综合应用的结果,这些技术有:AJAX(Asynchronous JavaScript and XML),Flash, JSON(JavaScript Object Notation),SOAP(Simple Object Access Protocol)和REST(Representa

一、介绍

Web2.0 是几项技术的综合应用的结果,这些技术有:AJAX(Asynchronous JavaScript and XML),Flash, JSON(JavaScript Object Notation),SOAP(Simple Object Access Protocol)和REST(Representational State Transfer)等。这些技术加上跨域的信息访问(Cross-Site Access)。它们共同支持了Web2.0这项复杂的应用。随着Web2.0应用的逐渐广泛,有目共睹的一个变化是终端用户浏览器的功能逐渐强大。

这些变化给传统扫描工具和信息安全研究人员带来了新的挑战。这篇文章的目标是研究以下内容:

(1)新一代Web应用中扫描的复杂性和挑战;

(2)Web2.0客户端扫描对象和方法;

(3)Web2.0漏洞检测(RSS feeds中的跨站脚本攻击);

(4)使用JSON进行跨域注入;

(5)客户端浏览器过滤的防御对策;

二、Web2.0 扫描的复杂性

Web2.0应用异常复杂,这给扫描技术带来了新的挑战。它的复杂性可以归为以下几个因素:

丰富的客户端接口:AJAX和Flash利用复杂的Java Scripts和Action scripts脚本,提供了丰富的应用接口,使得从这些脚本中发现应用逻辑和关键资源变得异常困难。

信息来源:有些Web2.0应用整合了许多不同站点的信息,信息资源复杂。例如一个应用可以整合不同站点的RSS feeds或者博客资源,在一个站点建立一个大的信息库,或者利用不同来源的数据资源建立自己的Mashup。

数据结构:不同应用之间交换数据使用的数据结构多样,可以是XML,JSON,JavaScript数组等。

协议:除了简单的HTTP Get和Post,Web2.0应用可以选择其他不同的协议,例如,SOAP,REST和XML-RPC。

我们应用的目标,可以是从不同的站点获得RSS feeds,利用JSON在不同的博客站点之间交换数据,使用SOAP与证券交易所的Web Service进行通信等。所有这些服务都要使用AJAX技术,以RIA(Rich Internet Applications)的形式进行。

1 2 3 4 5  下一页

Tags:Web 客户端 组件

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接