WEB相关基本信息
web的功能
服务器端功能
传输静态资源,传输动态内容
http请求使用3中主要方式向应用程序传送参数:
通过URL查询字符串;
通过Rest风格的URL的文件路劲
通过HTTPcookie
通过在请求主体中使用POST方法
RUBY ON RAILS
中发现了一些漏洞,包括能避开”安全模式“
www.ruby-lang.org/en/security/
XML(可扩展标记语音)
一种机器可读格式的数据编码规范。与其他的标记语言一样,XML格式的文档被划分为内容(数据)和标记(给数据做注解)
XML之所以可扩展,是因为它可以使用任意数量的标签和属性名,XML文档通常包含文档类型定义
web服务
web服务使用简单对象访问协议(SOAP)来交换数据。通常SOAP使用 HTTP协议来传送消息,并使用XML格式表示数据
服务器端应用程序使用它与各种后端系统进行通信。如果将用户提交的数据直接组合到后端SOAP消息中,可能产生SQL注入类似的漏洞
如果web服务直接公开,我们可以检查这些web服务,它们的输入处理以及服务本身所披露的功能方面仍存在区别。
正常情况下服务器会以web服务描述语音(WSDL)格式公布可用的服务和参数。攻击者可以使用soapUI之类的工具,基于已公布的WSDL文件创建示例请求,调用身份验证web服务,获得身份验证令牌,随后提出任何web请求
客户端功能
服务器端主要应用程序要接收用户的输入和操作,并向用户返回其结果,它必须提供一个客户端用户界面。由于所有Web应用程序都通过web浏览器进行访问,因此这些界面共享一个技术核心
客户端与服务器之间的大量通信都由用户点击超链接驱动。web应用程序中的超链接通常包含预先设定的请求参数,这些数据项不需由用户输入,而是由服务器将其插入用户单机的超链接的目标URL中,以这种方式提交。
VBScript
用于代替只有IE才支持的JS,但是功能远不如JS强大和程数,且VBS只能在特定的浏览器中使用,今天已经很少看到应用程序使用VBS了,但是从安全的角度来说,JS无法传送的入侵程序,VBS或许可以传送
文档对象模型(DOM)
可以通过API查询和操纵的HTML元素,并以编程方式访问这些元素的结构。DOM还可用于读取和更新当前URL和cookie等数据。DOM还包括一个事件模型,以便代码钩住各种时间,如表单提交,通过链接导航及键击
Ajax
一组编程技术,用于和用户的动态交互,部分变化,不需要整张页面进行刷新
核心技术为:XMLHttpRequest。经过标准整合后,转化为本地JS对象。客户端脚本可以通过该对象提出后台请求。
同源策略
浏览器实施的一种关键机制,用于防止不同来源的策略内容相互干扰。基本上从一个网站收到的内容可以读取并修改从该站点收到的其他内容。但不得访问从其他站点收到的内容。
如果不使用同源策略,当用户浏览到某个恶意网站时,在该站点上运行的脚本代码将能够访问这名用户同时访问的任何网站的数据和功能。从用户的网上银行转账,阅读用户的邮件,shopping的时候下载拦截它的信用卡信息。所以浏览器实施限制,只允许同源的内容进行交互
主要特点:
位于一个域中的页面可以向另一个域提出任意数量的请求。但该页面本身无法处理上述请求返回的数据。
位于一个域中的页面可以加载来自其他域的脚本,并在自己的域中执行这个脚本。这事因为脚本被假定为包含代码,而非数据,因此跨域访问并不会泄露任何敏感信息。
位于一个域中的页面无法读取或修改属于另一个域的cookie或其他的DON数据。
这些特点可能导致各种跨域攻击,诱使用户执行操作捕获数据
HTML5
HTML5是对HTML标准的重大更新。目前仅在浏览器中进行小规模实施。
HTML5引入了各种可用于传送跨站点脚本及实施其他攻击的新标签、属性和API
它对XMLHttpRequest这一核心Ajax技术进行了修改。某些情况下可以实现双向跨域交互。这可能导致新的跨域攻击。
它引入了新的客户端数据存储机制,这可能导致用户隐私问题以及新型攻击。
web2.0(发展趋势)
这些趋势包括:
大量使用Ajax
使用各种技术提高跨域集成:
在客户端使用各种新技术:XML,JSON,Flex
采用更先进的技术来支持用户生成的内容,信息共享和交互
新的技术基本都伴随着新的漏洞
浏览器扩展技术:
JAVA applet
ActiveX控件
Flash对象
silverlight对象
状态与会话
应用程序需要采集措施组织攻击者更改这些状态信息,破坏应用程序的逻辑。ASP.NET平台利用隐藏表单字段ViewState保存与用户的web界面有关的状态信息,从而减轻服务器的工作负担,默认情况下,ViewState的内容还包括了一个密钥散列,以防止受到破坏
因为HTTP协议本身并没有状态,为使用正确的状态数据处理每个请求,带动书应用程序需要采用某种方法再各种请求中重新确认每一名用户的身份,通常,应用程序会想每名用户发布一个令牌,对用户会话进行唯一标识,从而达到这一目的。这些令牌可使用任何请求参数传输,但许多应用程序往往使用HTTPcookie来完成这项任务。会话处理过程中也会产生几种漏洞。
扫一扫
5041
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
