+设为首页 +添加到收藏夹
每一种新的web技术都不可避免的遭遇安全问题,ajax也不例外。ajax即时数据反馈的特点实现了良好的用户交互,使得it建筑师们通过基于web的应用程序来改变用户访问与交互公共数据的方式。
【相关文章:架设局域网升级服务器 用WSUS打补丁(】 【扩展阅读:操作系统打补丁我用WSUS(上)】但是ajax技术同时也对it企业带来了新的安全威胁,ajax技术就如同对企业数据建立了一个直接通道。这使得开发者在不经意间会暴露比以前更多的数据与服务器逻辑。 【扩展信息:SMS 2003 ITMU安装与部署指南】 ajax的逻辑可以对客户端的安全扫描技术隐藏起来,允许黑客从远端服务器上建立新的攻击。还有ajax也难以避免一些已知的安全弱点,诸如跨站点脚步攻击、sql注入攻击与基于credentials的安全漏洞等。 为了发现ajax应用所带来的安全威胁,并给出解决办法,我们可以分析web应用程序开发生命周期的不同阶段与不同方面,进而选择特定的安全工具来帮助我们提高基于ajax的应用的安全性。通过使用这些产品,开发者可以显著的减少ajax安全缺陷,并使得任何安全漏洞尽在我们掌握之中。 来自cenzic的hailstorm 发现ajax安全缺陷的一个方法是借助于安全测试应用软件。这一方面,cenzic的hailstorm可以针对基于ajax的web应用程序进行精确动作分析。hailstorm可以自动模拟某些最复杂的基于流的攻击,让开发者看到真实世界的黑客是如何攻入他们的web应用程序并窃取安全数据的。 hailstorm使开发者可以实时检查所有安全缺陷,以了解某些注入攻击代码如何被执行以及被攻击的目标web应用如何响应。hailstorm还从不同的技术角度来提供建议来修正代码。不过由于web应用技术如此不同,hailstorm只是给出了通用的修补建议,而不提供具体的修正代码。 根据cenzic,当ajax应用程序发出服务器请求时出现的两个主要安全弱点是:输入确认(诸如sql与脚本注入)与授权。对开发者的关键挑战是要防止来自注入攻击的反馈信息。 例如,当发出http请求后,提交的参数被连接符号&分开,这使得黑客可以根据参数来查看服务器的响应。黑客可以创建定制的http头,通过插入调用函数,服务器端就会运行恶意脚本。通过hailstorm,开发者能够识别存在于http头内的注入代码的安全缺陷。 ... 下一页