Web2.0十大Ajax安全漏洞以及成因

JavaScript包含的Ajax是Web2.0應用的一個重要組成部分。該部分的進化發展使網絡變成了超級平臺。該轉變同時也催生了新品種的病毒和蠕蟲，比如Yamanner,Samy 以及Spaceflash等等。Google,Netflix,Yahoo 以及MySpace等門戶網站在過去的幾個月里都因為新的漏洞而蒙受一定損失。黑客們可以利用這些漏洞進行釣魚，跨站點腳本(XSS)以及跨站點偽造(XSRF)請求等攻擊。

　　Ajax中沒有固有的安全漏洞，但是對該技術向量的適配顯著地改變了網絡應用的開發途徑以及方法論。以前，DCOM和CORBA組成核心中間件層的時候，將數據和對象序列化非常困難。Ajax使用簡單的GET,POST或者SOAP調用，來轉換XML,HTML,JS Array,JSON,JS Objects以及其他定制的對象；全部這些操作都不需要調用中間件層。Ajax的這種綜合能力使應用服務器與瀏覽器之間的數據交換非常流暢。從服務器端傳來的信息動態地被注入到當前的DOM相關環境，然后瀏覽器的DOM狀態重置。在講安全漏洞之前，我們先來看看促成Web2.0漏洞的關鍵因素。

　　多重分散的終端點以及隱藏調用——Web2.0應用與Web1.0的主要區別就是信息訪問機制的區別。比起它的前身Web1.0, Web2.0應用有數個Ajax終點。潛在的Ajax調用分散于整個瀏覽器頁面，并且能夠被各個事件分別調用。開發者恨難應付Ajax調用的這種分散性，并且由于這些調用是隱藏的，不那么明顯，它還可能導致代碼不規范。

　　認證混亂——輸入和輸出內容認證是應用的重要因素之一。Web2.0應用使用橋，mashups,還有反饋等等。很多情況下，它假定“另一方”（讀取服務器端或者客戶端代碼）已經實現了認證，這種混亂就導致了雙方都沒有實現適當的認證控制。

　　不受信任的信息來源——Web2.0應用從很多不受信任的來源比如反饋，博客，搜索結果中獲得信息。這些內容在提供給終端瀏覽器之前從來沒有被認證，這就有可能引發跨站點攻擊。黑客還有可能在瀏覽器中加載JavaScript，以便迫使瀏覽器發出跨域的調用并打開安全漏洞。那樣的話，這些致命的漏洞就能被病毒和蠕蟲利用。

　　數據序列化——瀏覽器可以調用Ajax來實施數據序列化。它可以獲取JS array,Objects,Feeds,XML文件，HTML 塊以及JSON。如果這些序列塊中的某一個被解析并修改了，黑客們就可以強迫瀏覽器執行惡意腳本。不受信任信息與數據序列化的結合，對終端用戶的安全是致命的。

　　動態腳本構成和執行——Ajax會建立一個后端通道，從服務器獲取數據，然后將它傳送給DOM。實現這一點的必要條件就是動態地執行JavaScripts，以便隨時更新DOM或者瀏覽器頁面緩存的狀態。Ajax通過調用定制的功能或者eval()功能。未經認證的內容或者使用不安全的調用，輕則導致會話內容泄露，重則迫使瀏覽器執行惡意內容等各種后果。

　　Web2.0應用可能因為上面提到的1個或多個失誤而變得易受攻擊。如果開發者不夠審慎，沒有花心思在安全管理上的話，那么服務器和瀏覽器端都會出現安全問題。以下是10個可能的安全漏洞的簡要說明。

　　(1)畸形的JS對象序列

　　JavaScript支持面向對象編程(OOP)技術。它有很多不同的內置對象，也允許用戶自己創建對象。使用者可以用new object() 或者自己編輯如下代碼來創建新的對象。

　　message = {
　　from : "john@example.com",
　　to : "jerry@victim.com",
　　subject : "I am fine",
　　body : "Long message here",
　　showsubject : function(){document.write(this.subject)}
　　      };
 

　　這是一個簡單的消息對象，其中有2個字段需要電子郵件地址。我們可以使用Ajax來將該對象序列化并用JavaScript代碼編譯。程序員可以將它賦值到變量或者eval()。如果攻擊者發送嵌入了腳本的惡意“主題”，那么讀者就將成為跨站點腳本攻擊的受害者。JS對象既包含數據也包含方法。對JS對象序列的不當使用將產生可以被詭計多端的注入代碼利用的安全漏洞。

　　(2)JSON對注入

　　JavaScript對象符號(JSON)是一個簡單而有效的少量數據交換格式，它包含對象，數組，Hash表，向量以及列表數據結構。JavaScript, Python, C, C++, C# 和Perl languages都支持JSON。JSON序列在Web2.0應用中是個非常有效的交換機制。開發者頻繁使用Ajax和JSON，獲取并傳送必要的信息給DOM。下面是個簡單的帶有不同的name值對的JSON對象：“bookmarks”對象。

　　{"bookmarks":[{"Link":"www.example.com","Desc":"Interesting link"}]}
 

　　黑客們可以在Link或者Desc中注入惡意腳本。如果DOM和可執行程序被注入了，XSS目錄也會被注入。這是使終端用戶感染惡意內容的另一種方法。

　　(3)JS數組中毒

　　JS數組是另一個比較普遍的序列化對象。人們可以很容易地跨平臺移植它，并且它在使用不同語言的結構中也很有效。感染一個JS數組可以擾亂整個DOM環境。黑客們可以在瀏覽器中使用簡單的跨站點腳本攻擊JS數組。下面是一個JS數組的例子：

　　new Array(“Laptop”, “Thinkpad”, “T60”, “Used”, “900$”, “It is great and I have used it for 2 years”)
 

　　該數組是從一個拍賣二手筆記本的網站傳出來的。如果這個數組對象在服務器端沒有被仔細處理，黑客就可以在最后字段中注入腳本。這種注入將危及瀏覽器安全并被攻擊者利用。

　　(4)被修改的XML數據流

　　Ajax調用接受來自多個地址的XML。這些XML塊來自運行在SOAP,REST或者XML-RPC的網絡服務。這些網絡服務是由從第三方的代理橋那里接收過來的。如果這些第三方XML數據流被攻擊者修改過，那么攻擊者就可能向其中注入惡意內容。

　　瀏覽器從它自帶的XML解析器接收該數據流。該解析器容易受不同的XML炸彈的攻擊。人們也可以在該數據流中注入腳本，這樣就可以導致跨站點腳本攻擊(XSS)。瀏覽器接收未經認證的XML數據流的話，這就會危及終端客戶端的安全。

 

原文轉自：http://www.kjueaiud.com