Ajax 的安全-不容忽视的问题

转载 2006年05月19日 10:52:00

        XML安全厂商Forum Systems公司上月在安全问题上提出了一个警告,他认为,随着越来越多的Ajax风格的应用出现,很多组织需要考虑潜在的安全缺陷以及性能问题。

  位于盐湖城的Forum Systems公司的市场副总裁Walid Negm说:“我们并非在制造警告。我们只是感到需要让人们考虑安全和可扩展性需求。我们始终在关注使用XML的技术。这是我们份内的事。”

  Ajax是Asynchronous JavaScript and XML的缩写。它通过创建富网络应用来加强用户体验。根据Forum的看法,通过使用与Web服务互操作的更具有交互性的页面,Ajax增加了XML、文本和HTML的网络通信量。但这家公司认为由于依赖XML作为请求/相应的内容类型,负载成为了Web服务的弱点。该公司还指出,通过把用户的Web浏览器转换成Web服务门户,Ajax通信模型增加了浏览器处理的可靠性。

  Forum公司尝试对XML内容过滤、Web服务安全以及XML提速功能进行改进。

  Negm指出了一些潜在的问题。他说,首先是恶意的用户可能会发送脏数据,尤其是创建攻击性的客户端。另一个问题就是未授权的用户访问。在Ajax应用程序中,如果没有服务器端保护的话,一个为授权的用户可以迅速提高自己的级别。

  最大的威胁是不良形式的数据。他说:“由于使用了异步代码。拒绝服务很容易发生。一种潜在的结果就是服务器资源耗尽,或者因为拒绝服务而引起服务器宕机。”

  Negm说:“Ajax具有一些Web应用的安全问题,除非你在服务器端安装应用防火墙,才能得到保护。”

  他说:“尽管性能是一个大问题,但你还需要考虑数据如何影响性能的。Ajax使你能够更好的验证数据,但你不得不要处理附加的验证需求,而这也是让服务器头疼的事。”

  被问到提出警告是不是有点自私时, Negm回答道:“是存在这个问题,但不提出的话风险更大。我们对我们的安全纪录很满意。在警告背后的细节很有必要值得探讨。尽管不是很急,但我们正在让开发人员对此进行研究。”

  位于马萨诸塞州Waltham的ZapThink公司的高级分析师Jason Bloomberg说:“ Ajax带来的安全问题是简单的网页无法面对的,让人们明白这一点非常有必要。Forum公司已经开始关注这个威胁,所以发出警告是很自然的。”

  Adaptive Path公司是旧金山一家有用户体验的咨询公司。负责用户体验战略的主管Jesse James Garrett说:“某种程度上,Ajax应用把业务逻辑从服务器端搬到了客户端,于是业务逻辑就被暴露出来。根据应用的不同,这种做法增加了潜在的安全风险。”

  Garrett说:“下一个问题是数据安全。Ajax应用能依靠Web底层的加密层来加密那些进行数据通信的XML文档。”

  Garrett说:“此外,Ajax还有一个问题。我们做的就是降低服务器通讯中的用户交互。现在,服务器通讯对于用户已经完全不可见,因此,你可以在用户不差觉得情况下传送数据。这是一个很大的风险。”

  Dion Almaer是Ajax社区Ajaxian.com的创始人之一,他认为Ajax中没有什么是不安全的,但还是有一些问题。

  他说:“开发人员必须想清楚他们在做什么。你可以开发一个非常丰富的Ajax应用程序,这需要从浏览器向客户端传送数据。你需要让对服务器的访问变得安全,就和使用桌面技术时一样。举个例子,你不想让你的Ajax应用能发送任何SQL到后台的服务器并运行它。黑客能利用它并手动发送有害的请求。另外,不要对任何东西都进行eval()操作,还要对XSS探测保持警惕。”

  Almaer说:“底线是让你的服务器端尽可能安全。这样对你才有好处。”

  Garrett对此回应到:“开发和部署任何应用最重要的是优秀的规划。开发Ajax有一定的复杂性,这也让开发团队在做选择时要多考虑一些。”

SQL注入——网络安全问题不容忽视!(一)

http://1035054540-qq-com.iteye.com/blog/1517577 前言——   学习数据库,老师说需要有人自学研究sql注入,然后做一个充满漏洞的系统,...
  • cynhafa
  • cynhafa
  • 2012年05月14日 17:06
  • 459

云端数据遭觊觎 安全问题不容忽视

随着IT逐渐成为各大企业的营运核心,被攻击的频率和严重程度也不断在增长,黑客可以利用网站上的一个小小漏洞获得大量信息。 现如今,云计算也正逐渐融入到IT系统当中,让原本就不甚安全的网络变得更加复杂。...
  • iqushi
  • iqushi
  • 2014年07月17日 10:49
  • 2640

PHP的十个不容忽视的问题

  • 2017年12月11日 20:05
  • 105KB
  • 下载

待机能耗_一个不容忽视的问题

  • 2009年02月08日 11:17
  • 229KB
  • 下载

APP漏洞将成黑客攻击突破口 应用安全不容忽视

APP漏洞将成黑客攻击突破口 应用安全不容忽视 文:移动互联网李建华  微信:ydhlwdyq (该文章已经被国家信息安全研究中心,国家计算机网络应急技术处理协调中心上海互联网应急中心、上...

WinCE多线程并发 同步安全不容忽视

Windows CE是微软公司推出的一个多任务的操作系统,WinCE实现多任务的方法是采用多线程和多进程机制。一般来说,每一种使用多线程、多进程的操作系统都或多或少的会存在着并发线程的安全问题。在上周...

工控系统安全 不容忽视的安全领域

随着工业化与信息化进程的不断交叉融合,越来越多的信息技术应用到了工业领域。目前,超过80%的涉及国计民生的关键基础设施依靠工业控制系统来实现自动化作业。工业控制系统已经成为国家关键基础设施的重要组成部...

网络安全真是个大问题-从OpenSSL“漏洞”谈起

近日暴露的OpenSSL漏洞问题,觉得这并不是一个bug那么简单。其实,如今的互联网应用如火如荼,已经成为人们生活的一部分,但,很遗憾,我们越依赖网络,风险却越来越大。因为我们的个人信息、隐私、财产密...

iOS开发--iOS多线程操作时一些要注意的安全问题

这次STMAssembleViewhttps://github.com/ming1016/STMAssembleView加入异步解析上线后发现一些线程安全方面的问题,现总结下。 先看看这段代码 ...

ASP.NET安全问题--Froms验证的具体介绍(中篇)

启用Forms身份验证   相信大家对很清楚如何启用 Forms验证,但是这里我还是罗嗦一下。我们只要在 web.config文件中配置如下就行了: authentication mode...
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:Ajax 的安全-不容忽视的问题
举报原因:
原因补充:

(最多只允许输入30个字)