利用Firefox审计Web2.0应用程序安全

核心提示： 图片看不清楚？请点击这里查看原图（大图），图11 Firebug控制台中的Web服务调用这样我们就确定出用于此后端Web服务的资源位置，利用Firefox审计Web2.0应用程序安全(8)，如下所示：http://example.com/2/auth/ws/login.asmx/getSecur

图片看不清楚？请点击这里查看原图（大图）。

图11　 Firebug控制台中的Web服务调用

这样我们就确定出用于此后端Web服务的资源位置，如下所示：

http://example.com/2/auth/ws/login.asmx/getSecurityToken?username=amish&password=amish

很明显，上面的资源是一些运行在.NET framework之下的Web服务。经过上面一番剖析之后，我们发现了一个可以轻松地绕过的用户验证例程。对于此Web应用程序来说，这是一个潜在的安全威胁。

经过以上测试可以发现，利用一个WSDL文件并对此服务进行蛮力攻击就可以访问该web服务及其终端。此外，我们还可以利用wsChess之类的工具来发动各种形式的注射式攻击（SQL或者XPATH注射）。

对本例而言，此应用程序容易受到XPath注射的攻击，不过针对这种攻击的讨论超出了本文的范围。以上可以看出，这种逐步的方法有助于识别一些客户端攻击，例如XSS、DOM操纵攻击、客户端安全措施旁路、执行恶意Ajax代码，等等。

七、结束语

面向服务的体系结构(SOA)、Ajax、富 Internet 应用程序（RIA）和Web 服务已经成为了新一代Web应用程序的关键部件。为了跟上这些技术的步伐并应对下一代应用程序安全性挑战，我们需要设计和开发不同的方法和工具。审计应用程序的有效方法之一就是有效地利用浏览器。

在本文中，我们介绍了三种针对Web2.0应用程序的审计方法，通过这些方法，我们可以寻找并隔离一些有关Ajax的安全漏洞。浏览器自动脚本不仅可以加速我们的分析过程，而且还能帮助我们发现有弱点的服务器端资源。

下一代应用程序广泛使用了JavaScript。得心应手的调试工具是我们的穿着明亮盔甲的骑士。当您打算使用Firefox对Web 2.0进行安全审计时，本文中介绍的技术将是一个不错的起点。