Ajax 应用安全研究.docVIP

Ajax应用安全研究 宣以广 （浙江省信息安全重点实验室，浙江 杭州 310012） 【摘 要】Ajax作为为Web应用提供丰富的事件和语义层次的技术，无可置疑的正在成为互联网应用和企业信息系统开发的革命性技术。但是，其广泛应用也带来了大量的安全性问题。本文对Ajax技术、Ajax安全漏洞、以及Ajax安全漏洞检测工具进行了介绍。 【关键词】Ajax；安全漏洞；攻击；安全评测 Research on the Security of Ajax Applications Xuan yiguang (Information Security priority Laboratory of Zhejiang Province,Zhejiang 310012,china) 【Abstract】As providing a wealth of events and semantic levels of technology for the Web application, No doubt Ajax Is becoming an Internet application and enterprise information system developed revolutionary technology. But,Its wide range of applications has also brought a large number of security . The article introduced the Ajax technology, Ajax security vulnerabilities, as well as Ajax security testing tool. 【Keywords】Ajax；Security vulnerabilities；Attacks；Security Testingjax技术对开发过程也带来了新课题，Ajax技术引进的大量事件、数据处理和复杂的交互过程，都需要软件代码既要具备高性能还要具备良好的可维护性，用户交互过程需要完整清晰的定义和测试。软件开发人员在考虑应用Ajax技术时，除了面对与传统Web应用不同的体系结构区别、Ajax技术应用底层框架环境的选择、Ajax应用的性能响应的设计等因素以外，还应对因采取Ajax技术而引发的独特的安全特点加以必要的考虑。 二、Ajax技术的特点 Ajax(Asynchronous JavaScript and XML)是多种技术的综合，提供了异步的传输接口，克服了旧的Web应用基础体系结构中的一些缺陷，无状态的多页面能够被设计成具备用户状态数据的单页面，用户界面对象能够被单独加以更新，不再需要刷新整个页面对象树；浏览器不再只是内容的展示，能够以完整的应用运行环境的地位出现在系统架构中，带有大量代码的客户端应用被动态部署到浏览器中，使浏览器端能够产生极为丰富的具有用户应用语义交互的事件，并负责处理这些事件的异步响应。在基于Ajax技术设计的系统中，服务器端的作用突出于提供用户交互上下文所需的数据集合，一般具有严格的数据类型规范，而不再是松散的展示语言定义的内容。Ajax技术的异步事件响应和异步数据传输模式，使得拖拽、多重点击等用户界面事件的处理代价极小，系统设计者能够利用异步事件机制实现丰富的用户界面交互过程。下图为传统Web应用模型与基于Ajax技术的Web应用模型的区别： Ajax应用由于只有少量上下文变化需要的数据才会被在浏览器和服务器之间传输，而且这些数据只是一些特定编码的数据字符或者Xml结构化数据，同时能够在浏览器端实现丰富的客户端交互类型，能够实现大量传统Web应用无法实现的功能，使得Ajax应用具有占用网络带宽较少、速度较快、用户体验较好等优点，因此极大地扩展了Web应用的领域，已逐渐成为互联网和企业信息系统开发的新宠。但是，如果Ajax技术的安全风险得不到软件开发过程的足够重视，对安全加以详细的设计、实现和测试，未来伴随其部署增长的，必然是大量的安全漏洞。 三、Ajax技术的安全性分析 尽管Ajax技术能够极大地改进Web应用的用户体验，但是如果对因采取Ajax技术导致Web应用体系结构的变化引起的安全风险在软件设计上没有得到足够重视，Ajax技术的使用也会为Web应用引入更多的内在安全风险，带来更多的攻击。 分析Ajax的体系结构图可以发现，Ajax技术包含服务器和客户机两大部分，包含了以下几方面的安全隐患： — 部分应用逻辑部署在浏览器中，存在被利用的风险； — 浏览器和服务器之间的结构化通讯消息能够被拦截、破解； Web服务器内部的功能接口可能被匿名访问； 过度的内存泄漏(以及过高的带宽和频繁的 HTTP 请求)可能会造成