深入解析Web 2.0应用安全

来源 :中国计算机报 | 被引量 : 0次 | 上传用户:maimaizwy
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  这几年Web 2.0的应用让开发人员、最终用户和企业都取得了很多了不起的成果,从Google、Salesforce、MySpace、Flickr、YouTube、Linkedin到今天十分火爆的Facebook,这些具有Web 2.0特征的公司,创造了很多奇迹。
  然而,Web 2.0应用程序、移动设备所带来的富媒体功能,将会使隐蔽强迫下载及混合攻击增加。例如,社交网站上的嵌入视频及其链接成为了黑客频繁植入恶意软件的目标。随着更多的员工使用富媒体和Web 2.0应用程序,企业便会不知不觉暴露在更大的攻击威胁之下。
  
  Ajax带来的典型风险
  
  在Web 1.0时代中,客户端浏览器和服务器之间的通信是同步的,也就是说,当用户在Web页面上填写表单(例如使用搜索功能),请求就会发送到服务器上,经过处理后,服务器将完整的结果页面发送回来。这种做法的反复执行,极大浪费了网络带宽,也浪费了使用者很多等待多余信息的宝贵时间。
  Ajax可以和服务器只传输更新过的内容,它借助于客户端的JavaScript处理来自服务器的响应。同时,还有很多任务是由客户端本身来完成。因此,在网络上的数据交换更少、Web服务器的处理时间更短,用户感觉到的是更快的请求响应速度。
  说到Ajax的好处,我们不得不提到浏览器的“同源安全模型”。同源模型是客户端脚本运行的重要安全度量标准,它指的是来自于同一个源的脚本可以互相访问其方法和属性,而拒绝非同源的访问。该模型的精髓是:它认为从任何站点装载的内容是不安全的,当被浏览器不太信任的脚本运行时,它们应该只被允许访问来自同一站点的资源,而不是那些来自其它站点可能怀有恶意的资源。
  为什么要有同源的限制呢?这是浏览器提供的最为基础的安全保障之一。如果放开同源限制,黑客就可以通过引诱用户访问嵌入在恶意站点上的正常应用,当用户访问该应用时,攻击脚本就可以在不同源之间互访,窃取用户登录信息,或者跟踪用户的各种操作。
  虽然Ajax技术极大地推动了Web 2.0的发展,但是由于Ajax的诸多特征(动态、异步、突破同源限制),也给应用安全带来了隐患。
  
  Ajax和XSS(跨站脚本攻击)
  
  XSS是目前发生频率最高的网络攻击手段之一,它通过引诱用户执行恶意的JavaScript脚本(如引诱用户点击包含恶意脚本的链接),来达到窃取用户信息或者实现其它恶意行为的目的。在Web 1.0时代,XSS作为服务器端Web应用安全的隐患被广泛用户注意。正是由于Web 2.0鼓励信息分享、信息交互和协作,用户就有了更多的机会去看和修改他人的信息,比如通过Wiki、Blog或SNS社区网络,也是这种应用为黑客创造了更多的XSS攻击机会。现在的浏览器允许在Web页面运行时主动插入HTML代码(比如使用innerHTML属性),如果这些代码中包含恶意的JavaScript,则会被浏览器立刻执行,造成安全隐患。
  
  Ajax和CSRF(跨站请求伪造)
  
  在CSRF中,攻击者在用户完全未察觉的情况下,代表用户发送请求。这可以通过引诱用户点击链接,或是将请求嵌入到Image Tag等HTML标记中,强迫用户发送。这里例举一个攻击场景:攻击者向用户发送一封电子邮件,邮件中包含一个银行链接请求,请求的内容是从用户的银行账户向攻击者账户进行转账,用户使用该链接进入银行网站并进行了登录操作,该请求就会携同用户Cookie信息自动发送给银行。如果银行网站仅把Cookie值当做验明用户身份的唯一手段,那么Web应用就认为该请求是合法的,转账操作立刻被执行。
  在Ajax应用中,客户端和服务器的交互是通过HTTP协议实现的,如果站点安全保护措施不够强健,一旦CSRF成功,将会带来一系列灾难,如利用Web Mail服务发送邮件、代表用户在Blog上写注释、在SNS中修改用户信息等。
  
  Ajax和DoS(拒绝服务攻击)
  
  DoS是通过某种手段让服务器资源耗尽,阻断正常用户访问的攻击方法。比如向服务器提交大量请求,使服务器负荷过重。用户浏览器如果可以执行第三方JavaScript,就会带来DoS的可能性,因为第三方JavaScript逻辑中,很可能包含大量导致服务器资源耗尽的循环程序,所以在允许使用大量JavaScript的Ajax应用中,被DoS攻击概率大大提高。
  
  其它安全隐患
  
  Mushup应用通常是将任意第三方的Mushup组件组合在一起,如果攻击者向Mushup应用提供了恶意的Mushup组件,同时该应用没有提供足够的安全保护的话,用户和整个Mushup应用就面临着巨大的安全隐患。因为一个恶意的Mashup组件可以向整个Mushup应用中注入恶意代码,从而触发多种攻击行为,包括XSS、CSRF、DoS。如果该Mushup应用还提供服务器端的Ajax代理服务,恶意的客户端Mushup组件就可以将用户的隐私发送到外部站点,因为Ajax代理突破了同源限制。
  
  不容忽视的Flash
  
  互联网从1996年引入了Flash技术后,通过动画和交互,改变了Web页面的用户体验。
  2004年3月,Macromedia公司基于其专有的Macromedia Flash平台,发布了Flex。它涵盖了支持RIA(Rich Internet Applications)开发和部署的一系列技术。在Web 2.0时代,越来越多的开发者使用Flex技术开发Flash应用,由此带来的安全隐患也不容忽视。
  由于Flash支持全局变量,因此带来了很多安全隐患。只要攻击者控制了全局变量,那么他就可以实施多种攻击行为。
  Cross-Site Flashing(跨站Flash攻击)
  这种攻击原理和XSS相似,不过CSF是通过向网站注入恶意的Flash程序来实施攻击。由于Web 2.0时代的应用复杂性(如Mushup应用),注入的恶意Flash不但可以攻击同源内的应用,还可能在非同源的各个组件中传播。
  Cross-Site Scripting through Flash(通過Flash进行跨站脚本攻击)
  该方法使用易受感染的Flash文件进行典型的XSS攻击,和XSF很相似,攻击的发生同样来源于对全局变量的引用,如将全局变量作为装入函数的参数。
  攻击者使用恶意脚本,可能执行如下操作:1.将用户的Cookie值发送给攻击者;2.将用户的共享Flash对象发送给攻击者;3.将可通过DOM(如URL、表单字段等)访问的信息发送给攻击者。
其他文献
新一代信息技术渐行渐近,ICT技术变革迎来新曙光。  云计算、物联网、大数据,移动互联等成为重要的代表。“创新”、“成就”成为中国计算机行业发展的关键词。  企业只有抓住机遇,创新技术,才能取得更辉煌的成就。  “2012中国新一代信息技术创新大会暨第二届中国计算机行业发展成就奖颁奖典礼”告诉你,  如何才能驶上新一代信息技术变革的快行道。  形势不容乐观!  虽然没有人真正相信“2012年12月
创新并不是孤立的,我们需要建立创新的生态系统,实施创新驱动企业发展的战略。在构建创新体系方面,东软立足全球化的市场,建立了全球化的创新网络:在中国市场,以智能电脑、移动通信、医疗产品、汽车电子、智能家电和软件产品为主要业务创新方向;在日本市场,以信息家电和金融为核心;在北美市场,以移动通信、智能家电和医疗设备为核心;在欧洲市场,东软汽车电子和医疗设备已经打拼多年,赢得了用户的信任。  当前,我们正
上世纪80 年代起的桌面电脑、互联网革命,以技术进步为前导激发人民的潜在需求,创造出来更多的市场和商业模式,成就了微软、甲骨文、Sun和雅虎等公司。如今物联网、云计算、三网融合已经成为最常被提及的三个关键词,这三个热门领域从技术层面和业务层面给产业带来了全新的变革。  继个人计算机、互联网变革之后,2010年,云计算被看作第三次IT浪潮,它成为了中国战略性新兴产业的重要组成部分。它将带来生活、生产
去年底,在京东商城和当当网打响价格战后,卓越亚马逊也高调入局。不过,这次卓越亚马逊并不打算只打一时的战役,用该公司副总裁郭朝晖的话来说,他们要将此次促销活动的时间放得更长,力度放得更大。而在这一长时间促销策略的背后,卓越亚马逊有着自己的盘算。    让价格战的子弹飞更久    “尽管卓越亚马逊从本质上不赞成价格战,但是别人敢降价,我们就敢跟。”郭朝晖向《中国计算机报》记者表示。  去年12月15日
“在基础软件领域,美国领先很多,这是必须面对的一个问题。”近日,顶天立地(北京)软件技术有限公司(以下简称“顶天立地公司”)第一次向媒体整体介绍了公司的基本情况和云数据背景下公司的基本规划。顶天立地公司董事长、总裁孙柏林谈及国产基础软件的现状时说:“顶天立地扮演的角色,并不是要战胜一个强大的竞争对手,而是要给用户提供一个全新的、节省成本的选择。”  毋庸置疑,在数据库、中间件领域,国际巨头的竞争优
1月3日中国计算机报IT成分指数为104.46,比2010年3月29日的基准指数上涨4.46%。  央行连续上调存款准备金率后的再次加息对市场形成较大压力。年底资金面紧张,股指长时间在2700至2900点的狭窄空间中运行,面临着方向的选择。银行、地产、钢铁等权重股不支持大盘的向上运行,加息打破了短暂的平衡从而使大盘形成较大的调整。上证指数半年线的失守使中线向淡的趋势明朗,会加快中长线资金的流出。目
厦门钨业股份有限公司(下文简称厦门钨业)以制造业为主,涉及多个产业:矿山、冶炼、粉末冶金、精密机械加工、房地产等,共有十几家公司。2006年厦门钨业用了7个月的时间成功部署了微软AX3.0 ERP,当时还是针对一个单体企业而非集团部署的。发展到2011年,厦门钨业从整个集团的角度已经集流程制造、离散制造、精益制造等生产形态及多行业于一身,其分子公司大部分是合资公司,分布在全国多个省份,如何实现集团
“‘不动’的内容就是令人恐怖的死成本,只有‘动起来’的内容才会产生价值。” IBM软件集团大中华区企业内容管理(ECM)总经理顾世山首先解释了ECM的新口号“content in motion”。  内容即是非结构化数据,包括单证、合同、影像、票据、书籍等。在沈阳这个东北老工业基地,IBM ECM巡展沈阳站进一步解读了ECM的内涵和外延,并结合多个行业,展示了ECM行业解决方案的成效。  ECM新
近年来,KVM(多电脑切换器)市场在数据中心建设的带动下迎来了新的发展时机。作为KVM领域唯一的上市企业,宏正近日大幅调整其渠道布局,取消了总代理制度。其子公司北京宏正腾达科技有限公司董事长刘维贤表示:“渠道策略调整之后,宏正将形成由子公司、授权代理商、经销商和系统集成商、终端客户组成的全新垂直渠道体系。”    三年布局    近年来,宏正的布局发生了巨大的变化:先是2008年在北京成立子公司—
从64位处理器、多核处理器到APU,在PC快速发展的过程中,AMD以其处理器技术推动着着整个计算机产业的发展。跨入21世纪第二个十年,整个计算机产业面临着一场激烈的变革,AMD也面临着新的挑战。新的终端、新的应用和新的商业模式对处理器企业提出了新的要求。技术、应用、产业链构建环环相扣,每一环的缺失都会影响到企业未来的发展。一直以来以技术创新能力著称的AMD,在其他环节做出了充分的准备么?它将如何应