利用Firefox审计Web2.0应用程序安全
2009-09-16 00:00:00 来源:WEB开发网图片看不清楚?请点击这里查看原图(大图)。
图11 Firebug控制台中的Web服务调用
这样我们就确定出用于此后端Web服务的资源位置,如下所示:
http://example.com/2/auth/ws/login.asmx/getSecurityToken?username=amish&password=amish
很明显,上面的资源是一些运行在.NET framework之下的Web服务。经过上面一番剖析之后,我们发现了一个可以轻松地绕过的用户验证例程。对于此Web应用程序来说,这是一个潜在的安全威胁。
经过以上测试可以发现,利用一个WSDL文件并对此服务进行蛮力攻击就可以访问该web服务及其终端。此外,我们还可以利用wsChess之类的工具来发动各种形式的注射式攻击(SQL或者XPATH注射)。
对本例而言,此应用程序容易受到XPath注射的攻击,不过针对这种攻击的讨论超出了本文的范围。以上可以看出,这种逐步的方法有助于识别一些客户端攻击,例如XSS、DOM操纵攻击、客户端安全措施旁路、执行恶意Ajax代码,等等。
七、结束语
面向服务的体系结构(SOA)、Ajax、富 Internet 应用程序(RIA)和Web 服务已经成为了新一代Web应用程序的关键部件。为了跟上这些技术的步伐并应对下一代应用程序安全性挑战,我们需要设计和开发不同的方法和工具。审计应用程序的有效方法之一就是有效地利用浏览器。
在本文中,我们介绍了三种针对Web2.0应用程序的审计方法,通过这些方法,我们可以寻找并隔离一些有关Ajax的安全漏洞。浏览器自动脚本不仅可以加速我们的分析过程,而且还能帮助我们发现有弱点的服务器端资源。
下一代应用程序广泛使用了JavaScript。得心应手的调试工具是我们的穿着明亮盔甲的骑士。当您打算使用Firefox对Web 2.0进行安全审计时,本文中介绍的技术将是一个不错的起点。
更多精彩
赞助商链接