WEB开发网
开发学院网络安全安全技术 Web2.0客户端组件漏洞扫描(一) 阅读

Web2.0客户端组件漏洞扫描(一)

 2007-07-10 13:04:41 来源:WEB开发网   
核心提示: 三、Web2.0应用的扫描技术面临的挑战针对Web2.0应用的扫描技术面临的挑战,可以分为以下两个方面:1.扫描服务端应用组件:当扫描Web2.0应用时,Web2.0客户端组件漏洞扫描(一)(2),面临的最大挑战,就是获得服务器中的资源,ASP/JSP和Web Services,这些资源在

三、Web2.0应用的扫描技术面临的挑战

针对Web2.0应用的扫描技术面临的挑战,可以分为以下两个方面:

1.扫描服务端应用组件:当扫描Web2.0应用时,面临的最大挑战,就是获得服务器中的资源。当扫描传统的WEB应用时,可以运行一个网络爬虫,通过寻找“href”的方式,即可知道一个Web应用有哪些页面资源。但是在Web2.0的应用环境下,实现扫描,需要识别后端的网络应用,第三方的Mashup,后端的代理服务等。

2.扫描客户端组件:一个Web2.0应用,需要在浏览器中加载一些Java Scripts脚本,Flash组件和其他的一些小程序。这些组件和脚本利用XMLHTTPRequest对象同后方的WEB服务器进行通信,同时,在浏览器内部获得跨域信息也是可能的。由于Web2.0框架使用了多种客户端脚本,从不可信的第三方获得资源,这使得跨站脚本攻击(XSS)成为应用程序使用者面临的潜在威胁。AJAX,JSON技术,跨域访问和动态DOM操作技术被增加到传统的跨站脚本攻击(XSS)方法中,使得客户端组件的安全威胁大大增加。客户端组件扫描和漏洞检测是本文讨论的重点。

四、客户端扫描对象

为了能清楚的理解扫描对象,我们先举一个简单例子来说明一个WEB应用是如何部署的:如图1所示,一个Web应用运行在example.com上。客户通过浏览器访问这个应用。这个Web应用根据其使用和逻辑,分成以下几个部分:

图1 Web 2.0 应用部署

应用资源:这些资源被example.com解释成各种形式,例如,HTML,ASP/JSP和Web Services。这些资源在信任域内,被example.com所拥有。

上一页  1 2 3 4 5  下一页

Tags:Web 客户端 组件

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接