利用Firefox审计Web2.0应用程序安全

核心提示：我们知道，与传统的Web应用程序不同，利用Firefox审计Web2.0应用程序安全，Web 2.0应用程序一般都是建立在Ajax和交互式的Web服务之上的，这种技术转变给安全专业人员带来了新的安全挑战，图片看不清楚？请点击这里查看原图（大图），图1 Web 2.0的体系结构示意图如图 1 所示，一、简介本文为安全专业

我们知道，与传统的Web应用程序不同，Web 2.0应用程序一般都是建立在Ajax和交互式的Web服务之上的，这种技术转变给安全专业人员带来了新的安全挑战。

一、简介

本文为安全专业人员详细介绍了利用Firefox及其插件来剖析Web2.0应用程序的一些方法、工具和技巧。通过阅读本文，您可以了解：

◆Web 2.0 应用程序体系结构及其安全事项。　

◆黑客所面临的挑战，如发现隐藏的调用、爬行问题以及Ajax逻辑的发现等。　

◆利用Firebug工具寻找XHR调用。　

◆利用Chickenfoot插件自动模拟浏览器事件。　

◆利用Firebug调试器从安全角度对应用程序进行调试。　

◆安全漏洞的系统性检测方法。

二、Web 2.0 应用程序概述

近来流行的Web 2.0指的是采用了SOAP、XML-RPC和REST等XML驱动的新一代的Web应用程序。通过使用Ajax和富 Internet 应用程序(Flash)组件，这些新型的Web应用程序能够为终端用户提供更强大和灵活的用户界面。

这种技术的更替对Web应用程序的总体结构以及客户和服务器之间通信机制产生了很大的影响，同时也带来了许多新的安全挑战。比如，一些新型的蠕虫就是利用客户端AJAX框架来窃取机密信息的。

图片看不清楚？请点击这里查看原图（大图）。

图1　 Web 2.0的体系结构示意图

如图 1 所示，在左边的浏览器进程可以分成下列层次：

◆表示层——HTML/CSS提供了应用程序在浏览器窗口中的总体外观。