JavaScript包含的AJax是Web2.0應用的一個重要組成部分。該部分的進化發展使網絡變成了超級平台。該轉變同時也催生了新品種的病毒和蠕蟲,比如Yamanner,Samy 以及SpaceFlash等等。Google,Netflix,Yahoo 以及MySpace等門戶網站在過去的幾個月裡都因為新的漏洞而蒙受一定損失。黑客們可以利用這些漏洞進行釣魚,跨站點腳本(XSS)以及跨站點偽造(XSRF)請求等攻擊。
Ajax中沒有固有的安全漏洞,但是對該技術向量的適配顯著地改變了網絡應用的開發途徑以及方法論。以前,DCOM和CORBA組成核心中間件層的時候,將數據和對象序列化非常困難。AJax使用簡單的GET,POST或者SOAP調用,來轉換XML,Html,JS Array,JSON,JS Objects以及其他定制的對象;全部這些操作都不需要調用中間件層。AJax的這種綜合能力使應用服務器與浏覽器之間的數據交換非常流暢。從服務器端傳來的信息動態地被注入到當前的DOM相關環境,然後浏覽器的DOM狀態重置。在講安全漏洞之前,我們先來看看促成Web2.0漏洞的關鍵因素。
多重分散的終端點以及隱藏調用——Web2.0應用與Web1.0的主要區別就是信息訪問機制的區別。比起它的前身Web1.0, Web2.0應用有數個Ajax終點。潛在的Ajax調用分散於整個浏覽器頁面,並且能夠被各個事件分別調用。開發者恨難應付AJax調用的這種分散性,並且由於這些調用是隱藏的,不那麼明顯,它還可能導致代碼不規范。
認證混亂——輸入和輸出內容認證是應用的重要因素之一。Web2.0應用使用橋,mashups,還有反饋等等。很多情況下,它假定“另一方”(讀取服務器端或者客戶端代碼)已經實現了認證,這種混亂就導致了雙方都沒有實現適當的認證控制。
不受信任的信息來源——Web2.0應用從很多不受信任的來源比如反饋,博客,搜索結果中獲得信息。這些內容在提供給終端浏覽器之前從來沒有被認證,這就有可能引發跨站點攻擊。黑客還有可能在浏覽器中加載JavaScript,以便迫使浏覽器發出跨域的調用並打開安全漏洞。那樣的話,這些致命的漏洞就能被病毒和蠕蟲利用。
數據序列化——浏覽器可以調用AJax來實施數據序列化。它可以獲取JS array,Objects,Feeds,XML文件,Html 塊以及JSON。如果這些序列塊中的某一個被解析並修改了,黑客們就可以強迫浏覽器執行惡意腳本。不受信任信息與數據序列化的結合,對終端用戶的安全是致命的。
動態腳本構成和執行——AJax會建立一個後端通道,從服務器獲取數據,然後將它傳送給DOM。實現這一點的必要條件就是動態地執行JavaScripts,以便隨時更新DOM或者浏覽器頁面緩存的狀態。AJax通過調用定制的功能或者eval()功能。未經認證的內容或者使用不安全的調用,輕則導致會話內容洩露,重則迫使浏覽器執行惡意內容等各種後果。
Web2.0應用可能因為上面提到的1個或多個失誤而變得易受攻擊。如果開發者不夠審慎,沒有花心思在安全管理上的話,那麼服務器和浏覽器端都會出現安全問題。以下是10個可能的安全漏洞的簡要說明。
(1)畸形的JS對象序列
JavaScript支持面向對象編程(OOP)技術。它有很多不同的內置對象,也允許用戶自己創建對象。使用者可以用new object() 或者自己編輯如下代碼來創建新的對象。
message = {
from : "[email protected]",
to : "[email protected]",
subject : "I am fine",
body : "Long message here",
showsubject : function(){document.write(this.subject)}
};
這是一個簡單的消息對象,其中有2個字段需要電子郵件地址。我們可以使用AJax來將該對象序列化並用JavaScript代碼編譯。程序員可以將它賦值到變量或者eval()。如果攻擊者發送嵌入了腳本的惡意“主題”,那麼讀者就將成為跨站點腳本攻擊的受害者。JS對象既包含數據也包含方法。對JS對象序列的不當使用將產生可以被詭計多端的注入代碼利用的安全漏洞。
(2)JSON對注入
Javascript對象符號(JSON)是一個簡單而有效的少量數據交換格式,它包含對象,數組,Hash表,向量以及列表數據結構。JavaScript, Python, C, C++, C# 和Perl languages都支持JSON。JSON序列在Web2.0應用中是個非常有效的交換機制。開發者頻繁使用AJax和JSON,獲取並傳送必要的信息給DOM。下面是個簡單的帶有不同的name值對的JSON對象:“bookmarks”對象。
{"bookmarks":[{"Link":"www.example.com","Desc":"Interesting link"}]}
黑客們可以在Link或者Desc中注入惡意腳本。如果DOM和可執行程序被注入了,XSS目錄也會被注入。這是使終端用戶感染惡意內容的另一種方法。
(3)JS數組中毒
JS數組是另一個比較普遍的序列化對象。人們可以很容易地跨平台移植它,並且它在使用不同語言的結構中也很有效。感染一個JS數組可以擾亂整個DOM環境。黑客們可以在浏覽器中使用簡單的跨站點腳本攻擊JS數組。下面是一個JS數組的例子:
new Array(“Laptop”, “Thinkpad”, “T60”, “Used”, “900$”, “It is great and I have used it for 2 years”)
該數組是從一個拍賣二手筆記本的網站傳出來的。如果這個數組對象在服務器端沒有被仔細處理,黑客就可以在最後字段中注入腳本。這種注入將危及浏覽器安全並被攻擊者利用。