Web2.0客户端组件漏洞扫描（一）

核心提示：一、介绍Web2.0 是几项技术的综合应用的结果，这些技术有：AJAX（Asynchronous JavaScript and XML),Flash, JSON(JavaScript Object Notation),SOAP（Simple Object Access Protocol）和REST（Representa

一、介绍

Web2.0 是几项技术的综合应用的结果，这些技术有：AJAX（Asynchronous JavaScript and XML),Flash, JSON(JavaScript Object Notation),SOAP（Simple Object Access Protocol）和REST（Representational State Transfer）等。这些技术加上跨域的信息访问(Cross-Site Access)。它们共同支持了Web2.0这项复杂的应用。随着Web2.0应用的逐渐广泛，有目共睹的一个变化是终端用户浏览器的功能逐渐强大。

这些变化给传统扫描工具和信息安全研究人员带来了新的挑战。这篇文章的目标是研究以下内容：

(1)新一代Web应用中扫描的复杂性和挑战；

(2)Web2.0客户端扫描对象和方法；

(3)Web2.0漏洞检测(RSS feeds中的跨站脚本攻击)；

(4)使用JSON进行跨域注入；

(5)客户端浏览器过滤的防御对策；

二、Web2.0 扫描的复杂性

Web2.0应用异常复杂，这给扫描技术带来了新的挑战。它的复杂性可以归为以下几个因素：

丰富的客户端接口：AJAX和Flash利用复杂的Java Scripts和Action scripts脚本，提供了丰富的应用接口，使得从这些脚本中发现应用逻辑和关键资源变得异常困难。

信息来源：有些Web2.0应用整合了许多不同站点的信息，信息资源复杂。例如一个应用可以整合不同站点的RSS feeds或者博客资源，在一个站点建立一个大的信息库，或者利用不同来源的数据资源建立自己的Mashup。

数据结构：不同应用之间交换数据使用的数据结构多样，可以是XML，JSON，JavaScript数组等。

协议：除了简单的HTTP Get和Post，Web2.0应用可以选择其他不同的协议，例如，SOAP，REST和XML-RPC。

我们应用的目标，可以是从不同的站点获得RSS feeds，利用JSON在不同的博客站点之间交换数据，使用SOAP与证券交易所的Web Service进行通信等。所有这些服务都要使用AJAX技术，以RIA(Rich Internet Applications)的形式进行。