快捷搜索:

Ajax网站安全,谁来保证

问:我们为我们的办事开拓了基于Java和Ajax的Web产品。有没有任何自由的对象软件能够扫描Ajax安然破绽的代码?

答:包管Ajax利用法度榜样的安然是任何开拓或者治理Web办事的职员的一个新的寻衅。大年夜多半Ajax利用法度榜样的核心是JavaScript的XMLHttpRequest工具,能够让Web页自力地连接到用户的Web办事器和提取跨域的内容。当在一个面向办事的架构中与其它疏松地结合在一路的软件办事结合在一路的时刻,这个功能就会呈现严重的安然问题。虽然Ajax不会创造新的安然破绽,然则,它可以裸露许多现有的安然破绽,分外是在Ajax利用法度榜样分外繁杂的时刻。这使测试用户和办事互动可能呈现的许多序列改变异常艰苦。

你要扫描你的代码是异常精确的。然则,到今朝位置还没有一种周全自动的Ajax利用法度榜样安然评估对象。开放Web利用安然计划(OWASP)最新供给了一个免费下载的Sprajax软件。这是一种专门为扫描Ajax Web利用法度榜样中的潜在的安然破绽而开拓的开源软件安然扫描器。我绝不狐疑这个软件将成为一个巨大年夜的对象。然则,我现在还不能把它称作一个巨大年夜的对象。你可以在这个网站高低载Sprajax。在OWASP网站,你还会发明有关开拓安然的Ajax利用法度榜样的箴规针砭,你还可以经由过程注册从Acunetix公司那里接管一个弥补的安然扫描。

另一方面,假如你的预算容许购买一个Ajax安然破绽评估对象,你可以斟酌购买Cenzic公司更新的Hailstorm产品。这种新更新的对象现在可以扫描拥有Ajax功能的利用法度榜样。虽然不能涵盖每一个基于XML和SOA的安然破绽,然则,Hailstorm能够应用内部浏览器根据利用法度榜样的实际反映检测差错。这比依附基于特性的扫描要好得多。这种产品还可以对挟制会话等安然破绽实施基于会话的评估,这种策略是基于特性的扫描所办不到的。SPI Dynamics公司的WebInspect是另一种值得评估的扫描器。这个产品中的许多检测功能之一是反省动态链接对办事器上的脚本进行的身份识别和授权。

着末,在你开拓Ajax利用法度榜样的时刻,尽可能设法维持这些法度榜样的兼容性。削减和简化任何Ajax调用将使你更轻易评估一个网页或者利用法度榜样发出的哀求的类型。此外,必然要存档和解释这个利用法度榜样是若何与办事器沟通的以及若何处置惩罚回应的。这将使你能够更轻易地评估代码中是否存在安然破绽。永世不相信来自客户机的密钥编码的规则仍旧适用。任何安然节制都应该在办事器上实施,永世不要在用户的节制之下。

您可能还会对下面的文章感兴趣: