Web2.0客户端组件漏洞扫描(一)
2007-07-10 13:04:41 来源:WEB开发网核心提示: 三、Web2.0应用的扫描技术面临的挑战针对Web2.0应用的扫描技术面临的挑战,可以分为以下两个方面:1.扫描服务端应用组件:当扫描Web2.0应用时,Web2.0客户端组件漏洞扫描(一)(2),面临的最大挑战,就是获得服务器中的资源,ASP/JSP和Web Services,这些资源在
三、Web2.0应用的扫描技术面临的挑战
针对Web2.0应用的扫描技术面临的挑战,可以分为以下两个方面:
1.扫描服务端应用组件:当扫描Web2.0应用时,面临的最大挑战,就是获得服务器中的资源。当扫描传统的WEB应用时,可以运行一个网络爬虫,通过寻找“href”的方式,即可知道一个Web应用有哪些页面资源。但是在Web2.0的应用环境下,实现扫描,需要识别后端的网络应用,第三方的Mashup,后端的代理服务等。
2.扫描客户端组件:一个Web2.0应用,需要在浏览器中加载一些Java Scripts脚本,Flash组件和其他的一些小程序。这些组件和脚本利用XMLHTTPRequest对象同后方的WEB服务器进行通信,同时,在浏览器内部获得跨域信息也是可能的。由于Web2.0框架使用了多种客户端脚本,从不可信的第三方获得资源,这使得跨站脚本攻击(XSS)成为应用程序使用者面临的潜在威胁。AJAX,JSON技术,跨域访问和动态DOM操作技术被增加到传统的跨站脚本攻击(XSS)方法中,使得客户端组件的安全威胁大大增加。客户端组件扫描和漏洞检测是本文讨论的重点。
四、客户端扫描对象
为了能清楚的理解扫描对象,我们先举一个简单例子来说明一个WEB应用是如何部署的:如图1所示,一个Web应用运行在example.com上。客户通过浏览器访问这个应用。这个Web应用根据其使用和逻辑,分成以下几个部分:
图1 Web 2.0 应用部署
应用资源:这些资源被example.com解释成各种形式,例如,HTML,ASP/JSP和Web Services。这些资源在信任域内,被example.com所拥有。
- ››web安全之信息刺探防范1
- ››webqq 最新加密算法
- ››webdriver 数据库验证方法
- ››客户端:Lync 2011 for Mac体验
- ››WebSphere Application Server 7.0 XML Feature P...
- ››Web2.0网络时代基于社会影响力的声望值
- ››Web服务器搭建:配置Linux+Apache+Mysql+PHP(或Pe...
- ››WebLogic调整Java虚拟机性能优化参数
- ››webqq2.0协议研究(3)-ClientId生成
- ››Web.config配置文件
- ››WebBrowser组件的execWB方法——Delphi控制浏览器...
- ››Web前端设计模式--制作漂亮的弹出层
更多精彩
赞助商链接