• <ruby id="5koa6"></ruby>
    <ruby id="5koa6"><option id="5koa6"><thead id="5koa6"></thead></option></ruby>

    <progress id="5koa6"></progress>

  • <strong id="5koa6"></strong>
    • 軟件測試技術
    • 軟件測試博客
    • 軟件測試視頻
    • 開源軟件測試技術
    • 軟件測試論壇
    • 軟件測試沙龍
    • 軟件測試資料下載
    • 軟件測試雜志
    • 軟件測試人才招聘
      暫時沒有公告

    字號: | 推薦給好友 上一篇 | 下一篇

    Ajax不容忽視的安全問題

    發布: 2008-1-29 16:16 | 作者: itzealot | 來源: 賽迪博客 | 查看: 20次 | 進入軟件測試論壇討論

    領測軟件測試網 XML安全廠商Forum Systems公司上月在安全問題上提出了一個警告,他認為,隨著越來越多的Ajax風格的應用出現,很多組織需要考慮潛在的安全缺陷以及性能問題。

      位于鹽湖城的Forum Systems公司的市場副總裁Walid Negm說:“我們并非在制造警告。我們只是感到需要讓人們考慮安全和可擴展性需求。我們始終在關注使用XML的技術。這是我們份內的事!

      Ajax是Asynchronous JavaScript and XML的縮寫。它通過創建富網絡應用來加強用戶體驗。根據Forum的看法,通過使用與Web服務互操作的更具有交互性的頁面,Ajax增加了XML、文本和HTML的網絡通信量。但這家公司認為由于依賴XML作為請求/相應的內容類型,負載成為了Web服務的弱點。該公司還指出,通過把用戶的Web瀏覽器轉換成Web服務門戶,Ajax通信模型增加了瀏覽器處理的可靠性。

      Forum公司嘗試對XML內容過濾、Web服務安全以及XML提速功能進行改進。

      Negm指出了一些潛在的問題。他說,首先是惡意的用戶可能會發送臟數據,尤其是創建攻擊性的客戶端。另一個問題就是未授權的用戶訪問。在Ajax應用程序中,如果沒有服務器端保護的話,一個為授權的用戶可以迅速提高自己的級別。

      最大的威脅是不良形式的數據。他說:“由于使用了異步代碼。拒絕服務很容易發生。一種潛在的結果就是服務器資源耗盡,或者因為拒絕服務而引起服務器宕機!

      Negm說:“Ajax具有一些Web應用的安全問題,除非你在服務器端安裝應用防火墻,才能得到保護!

      他說:“盡管性能是一個大問題,但你還需要考慮數據如何影響性能的。Ajax使你能夠更好的驗證數據,但你不得不要處理附加的驗證需求,而這也是讓服務器頭疼的事!

      被問到提出警告是不是有點自私時, Negm回答道:“是存在這個問題,但不提出的話風險更大。我們對我們的安全紀錄很滿意。在警告背后的細節很有必要值得探討。盡管不是很急,但我們正在讓開發人員對此進行研究!

      位于馬薩諸塞州Waltham的ZapThink公司的高級分析師Jason Bloomberg說:“ Ajax帶來的安全問題是簡單的網頁無法面對的,讓人們明白這一點非常有必要。Forum公司已經開始關注這個威脅,所以發出警告是很自然的!

      Adaptive Path公司是舊金山一家有用戶體驗的咨詢公司。負責用戶體驗戰略的主管Jesse James Garrett說:“某種程度上,Ajax應用把業務邏輯從服務器端搬到了客戶端,于是業務邏輯就被暴露出來。根據應用的不同,這種做法增加了潛在的安全風險!

      Garrett說:“下一個問題是數據安全。Ajax應用能依靠Web底層的加密層來加密那些進行數據通信的XML文檔!

      Garrett說:“此外,Ajax還有一個問題。我們做的就是降低服務器通訊中的用戶交互,F在,服務器通訊對于用戶已經完全不可見,因此,你可以在用戶不差覺得情況下傳送數據。這是一個很大的風險!

      Dion Almaer是Ajax社區Ajaxian.com的創始人之一,他認為Ajax中沒有什么是不安全的,但還是有一些問題。

      他說:“開發人員必須想清楚他們在做什么。你可以開發一個非常豐富的Ajax應用程序,這需要從瀏覽器向客戶端傳送數據。你需要讓對服務器的訪問變得安全,就和使用桌面技術時一樣。舉個例子,你不想讓你的Ajax應用能發送任何SQL到后臺的服務器并運行它。黑客能利用它并手動發送有害的請求。另外,不要對任何東西都進行eval()操作,還要對XSS探測保持警惕!

      Almaer說:“底線是讓你的服務器端盡可能安全。這樣對你才有好處!

      Garrett對此回應到:“開發和部署任何應用最重要的是優秀的規劃。開發Ajax有一定的復雜性,這也讓開發團隊在做選擇時要多考慮一些!

    文章來源于領測軟件測試網 http://www.kjueaiud.com/

    TAG: ajax AJAX Ajax 安全問題


    關于領測軟件測試網 | 領測軟件測試網合作伙伴 | 廣告服務 | 投稿指南 | 聯系我們 | 網站地圖 | 友情鏈接
    版權所有(C) 2003-2010 TestAge(領測軟件測試網)|領測國際科技(北京)有限公司|軟件測試工程師培訓網 All Rights Reserved
    北京市海淀區中關村南大街9號北京理工科技大廈1402室 京ICP備10010545號-5
    技術支持和業務聯系:info@testage.com.cn 電話:010-51297073

    軟件測試 | 領測國際ISTQBISTQB官網TMMiTMMi認證國際軟件測試工程師認證領測軟件測試網

    老湿亚洲永久精品ww47香蕉图片_日韩欧美中文字幕北美法律_国产AV永久无码天堂影院_久久婷婷综合色丁香五月

  • <ruby id="5koa6"></ruby>
    <ruby id="5koa6"><option id="5koa6"><thead id="5koa6"></thead></option></ruby>

    <progress id="5koa6"></progress>

  • <strong id="5koa6"></strong>