Web Application Security

Web application security现在(2006年)还是一个处于探索阶段的话题，我个人比较感兴趣的是JavaScript在web application中的威胁。(这不能说明我是JavaScript的反对者，恰恰相反的是我在努力掌握JavaScript —— 一个强大的脚本语言)。今年7月就有人利用javascript注入在hi.baidu上发现安全漏洞，同样Gmail里面也发现XSS安全问题。


下面我们讨论一些web application可能面临的一些攻击。主要参考Shreeraj Shah的Top 10 Web 2.0 Attack Vectors

Cross-site scripting(XSS): XSS简单的来说就是在其他domain内注入脚本并被解释运行。Samy worm是典型的XSS攻击。

XML poisoning: 现在很多网站使用AJAX技术，XML作为数据传输的载体，攻击者很有可能利用不规范的XML文本来破坏server对xml的解析。比如的强制结束，当然可以注入一些有破坏性的代码，在SOAP里面也存在同样的问题。

Malicious AJAX code execution: JavaScript具有监听用户输入和读取cookie的功能，所以一旦这类的脚本被注入，那么client的一些私有信息很有可能悄悄的传给攻击者。
RSS / Atom injection : RSS逐渐成为信息交换的一种手段。而一般RSS reader都会style RSS，所以可以借助XML poisoning里面的一些办法进行攻击。

Client side validation in AJAX routines: 一些web application仅仅使用client validation而没有server side validation。这样造成很大的安全漏洞。
RIA thick client binary manipulation: 缓存在client的RIA think client诸如Flash, Applet, ActiveX很可能被攻击者作逆向工程，从而发现安全漏洞。

总结起来这些攻击手段都是基于 client(包括proxy) 对数据进行解释和样式化。所以防止办法可以有下面一些：

过滤或者转义一些特殊字符。
控制JavaScript可能被解释运行的插入点，比如href和style属性
尽可能不让用户输入eval()和javascript:这些具有运行机制的关键字。