Web2.0客户端组件漏洞扫描(一)
2007-07-10 13:04:41 来源:WEB开发网Feed代理:XMLHTTPRequest不能对后端服务器进行跨域访问。因此,需要建立一个代理服务器,通过代理服务器访问第三方的RSS feeds,例如,假设这个feeds是“每日新闻”,那么example.com的用户也可以获得“每日新闻”这项资讯。
博客访问:终端用户通过访问example.com可以获得因特网上的博客资源,这是因为example.com在用户的浏览器上下载了一些脚本,允许用户访问一些跨域博客。
以下是四个关键的扫描对象,来决定客户端是否存在漏洞:
1.函数库指纹:Web2.0应用是由AJAX和Flash函数库创建和支持的,这些函数库被加载到用户浏览器,以供程序运行时使用。所以,有必要提取这些函数库的指纹,和已经公布的漏洞库中的数据进行比对,例如,假设某个用户浏览器下载的某个库函数存在漏洞,并被记录在公布的漏洞库中,那么通过指纹比对可以发现这个有潜在威胁的库函数。
2.第三方不可信的信息点:在图1中,我们把Web应用划分成可信和不可信两部分。不可信的信息在加载到用户浏览器之前要进行安全扫描。图1的例子中,RSS feeds是通过应用服务器的Feed代理到达用户浏览器的,而博客信息则是直接进入用户浏览器,信息进入浏览器后都以DOM(文档对象模型)的形式存在。如果在这些信息进入用户浏览器之前,进行安全扫描,则可以避免一些安全威胁。
3.DOM访问点:由于浏览器中任何东西都以DOM的形式运行,加载的Java Scripts脚本也是来操作DOM的,所以,恶意信息在任何一个DOM访问点进入,都会对浏览器造成威胁。因此,DOM的访问点的安全扫描也至关重要。
4.利用函数和变量的漏洞检测:为了发现威胁和漏洞,需要对浏览器的运行逻辑和相应的轨迹有深入的理解,这样,一旦DOM访问点和第三方信息被识别出来,能够及时发现调用的函数,进行安全扫描。
- ››web安全之信息刺探防范1
- ››webqq 最新加密算法
- ››webdriver 数据库验证方法
- ››客户端:Lync 2011 for Mac体验
- ››WebSphere Application Server 7.0 XML Feature P...
- ››Web2.0网络时代基于社会影响力的声望值
- ››Web服务器搭建:配置Linux+Apache+Mysql+PHP(或Pe...
- ››WebLogic调整Java虚拟机性能优化参数
- ››webqq2.0协议研究(3)-ClientId生成
- ››Web.config配置文件
- ››WebBrowser组件的execWB方法——Delphi控制浏览器...
- ››Web前端设计模式--制作漂亮的弹出层
更多精彩
赞助商链接