Web开发者不会注意到由 “Ajax(Asynchronous JavaScript And XML)”所带来的激情。不费力气就能创建像Google Suggest那样的智能网站或者像Gmail那样基于Web的应用程序,这在很大程度上要归功于这种技术。然而,伴随着AJAX应用程序的发展,我们发现了它的一些不足之处,我们发现它的安全漏洞也在逐渐变大,就像慢慢地把基于AJAX的站点放入了一颗定时炸弹中。
日前网络中流行围绕AJAX和安全风险的讨伐声浪让人不绝于耳。这种火热的新技术已经被铺天盖地地应用在各种web应用(构建如Gmail、Google Maps这些基于web的应用),但在其炙手可热的光环背后隐藏着一个黑暗的鬼怪——AJAX正在为心怀恶意的hacker打开着后门。
Ajax时代 SQL注入依然是隐患
Ajax时代来临了,它已经成为Web 2.0技术核心支柱。然而在这个新时代即将来临之时,我们想提醒的是,以前有的安全隐患并不会因为新技术的应用而消失,其最明显的例子就是,SQL注入安全隐患。
许多网站程序在编写时,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码(一般是在浏览器地址栏进行,通过正常的www端口访问),根据程序返回的结果,获得某些想得知的数据,这就是所谓的SQL Injection,即SQL注入。>>>全文查看
Ajax 让网页木马“悄悄的执行”
各种各样的IE漏洞出现了,从刚开始想办法在用户浏览网页时“56K猫的网速竟然要在后台下载300K左右的木马服务端”,到各类“11k下载者”的出现,大家唯一的目的就是想做到“让用户感觉不到的时候执行”。也是出于这个目的,我决定再研究下把Ajax融入网页木马,让木马“悄悄的进庄,打枪的不要”。>>>全文查看
Ajax让Sohu邮箱成为垃圾邮件的帮凶
今天,电子邮箱(E-mail)无疑已经成为大众通讯的工具;由于垃圾邮件泛滥,E-mail也成为信息安全的重大隐患之一。搜索到有效邮件地址成为垃圾邮件发送成功与否的决定要素。随着Ajax新兴技术在大型网站,如SOHU等得到应用,使得垃圾邮件制造者有机可乘。>>>全文查看
十大Ajax安全漏洞以及成因
以下是十个Ajax安全漏洞的简要说明:
· 畸形的JS对象序列
·
JS数组中毒
·
DOM中脚本注入
·
RSS和Atom注入
·
基于Flash的跨域访问
· JSON对注入
·
被修改的XML数据流
·
跨域访问和回调
·
单击炸弹
·
XSRF
5个最重要的AJAX安全提示:
·为了取得成功,你必须从好的计划开始。必须集中你的才智减少和简化AJAX调用,创建一个标准的响应格式,在任何地方都要遵循这个协定(理想的XML)。
·遵循来自像开放万维网应用安全计划那样的站点的最优方法。这里面特别包含了访问控制和输入校验漏洞检查,同时确保敏感信息使用over SSL胜过使用普通文本。
·永远不要假设服务器端AJAX对于访问控制或者用户输入校验检查能够代替在服务器上的最终再检查。增加AJAX控制永远不会减少你的验证工作量,它们只能增加你的工作量。
·永远不要假设客户端的混淆技术(obfuscation,在这里指使JavaScript难于阅读和解码)能够保护你非常重要的商业秘密。使用JavaScript是隐藏程序设计最没用的一种手段,还能够为你的对手提供好处。
·最后,你必须非常好的领导你的开发团队。使用AJAX听起来非常引人注目,但是你应该认识到要保留你的开发团队以便开发版本2,当然现在你应该开发非常稳定的版本1。
Ajax网页木马防御篇
网页木马的防御应该是:假设我们已经浏览了网页木马,浏览器正在后台默默的下载木马服务端,下载完成后就要把木马复制到启动项,或者就要立刻执行。好的,想办法拦截,不允许复制和执行。1、首先修改启动项目录的权限为管理员才能对文件进行写操作。2、在桌面上建立浏览器的快捷方式,在快捷方式上点鼠标右键,选择属性高级>勾选“以其他身份运行”。3、建立一个新的用户,用户名为“q”,密码为“q”,默认加入“users用户组”。因为这是“以其他身份运行”后,再次打开会提示输入用户名密码,所以简单些好输入。4、修改安全策略,不允许新建的用户登录系统。
Ajax安全防范的方法
1、判断request的来源地址。这样的方式不推荐,因为黑客可以更改http包头,从而绕过检测。
2、采用验证码。也不推荐,请各位大大想一下用户的感受,刚输入用户名就让我输入注册码?这样Ajax意义何在?
3、给一个IP在一个小时内,分配一些份额,比如500个(考虑到网吧等等多台机器一个IP,使用NAT的地方)。
4、返回随机图片。这是我自己设想了一种解决方案,没有经过测试,下面详细说明。
Ajax是Asynchronous JavaScript and XML的缩写。AJAX(Asynchronous JavaScript + XML)是web浏览器技术的集合体,它允许web页面内容飞速地更新而无需刷新页面。在使用AJAX的web页面背后,数据(通常格式化为XML,但也可以是HTML、JavaScript等格式)在web服务器与客户端浏览器之间来回传输。比如在Gmail应用场景中,新的邮件信息被自动接收和显示。在Google Maps应用场景中,用户可以通过鼠标拖拽的方式在地图中的街区之间穿梭漫游。这种执行异步数据传输的机制是一个嵌入在所有现代web浏览器内部的、被称为XMLHTTPRequest(XHR)的软件库。XHR是web站点获得“AJAX”商标的关键。另一方面,它也是一些实现了“奇思妙想”的JavaScript。
Ajax不是一个技术,它实际上是几种技术,每种技术都有其独特这处,合在一起就成了一个功能强大的新技术。
相关文章
精彩导读
热门资讯
关注我们
