Web2.0下的十大安全威胁.doc.docVIP

　　Web2.0下的十大安全威胁～教育资源库 　　ySpace.都是使用L的网络服务正在取代一部分的关键功能。它提供可通过网络服务接口来访问的分布式应用。用户可以从浏览器端远程激活基于GET,POST或者SOAP的方法，这项能力给各种应用带来新的缺陷。另一方面，使用XML,XUL,Flash,Applets和JAVAScripts的RIA框架增加了更多可用的攻击向量。RIA,AJAX以及网络服务给网络应用安全增加了新的维度。 　　下面是10个攻击向量的列表以及简短介绍： 　　1.AJAX中的跨站点脚本 　　前几个月，人们发现了多种跨站点的脚本攻击。在此类攻击中，受害者的包含信息的浏览器上会运行来自特定网站的恶意JAVA脚本代码。Yamanner蠕虫就是一个最近的范例，它利用Yahoo邮件的AJAX调用中的跨站点脚本机会来攻击受害者。另一个近期的范例就是Samy蠕虫，它利用MySpace.的跨站点脚本漏洞来攻击。AJAX在客户端上运行，它允许错误书写的脚本被攻击者利用。攻击者能够编写恶意链接来哄骗那些没有准备的用户，让他们用浏览器去访问特定的网页。传统应用中也存在这样的弱点，但AJAX给它添加了更多可能的漏洞。 　　2.XML中毒 　　很多L传输在服务器和浏览器之间往复。网络应用接收来自AJAX客户端的XML块。这XML块很可能染毒。多次将递归负载应用到产出相似的XML节点,这样的技术还并不普遍。如果机器的处理能力较弱，这将导致服务器拒绝服务。很多攻击者还制作结构错误的XML文档，这些文档会扰乱服务器上所使用的依赖剖析机制的逻辑。服务器端的剖析机制有两种类型，它们是SAX和DOM。网络服务也使用相同的攻击向量，这是因为网络服务接收SOAP消息，而SOAP就是XML消息。在应用层大范围地使用XMLs使攻击者有更多的机会利用这个新的攻击向量。 　　XML外部实体参照是能被攻击者伪造的一个XML的属性。这会使攻击者能够利用人意的文件或者TCP连接的缺陷。XML schema中毒是另一个XML中毒的攻击向量，它能够改变执行的流程。这个漏洞能帮助攻击者获得机密信息。 　　3.恶意AJAX代码的执行 　　AJAX调用非常不易察觉，终端用户无法确定浏览器是否正在用XMLHTTP请求对象发出无记载的调用。浏览器发出AJAX调用给任意网站的时候，该网站会对每个请求回应以cookies。这将导致出现泄漏的潜在可能性。例如，约翰已经登陆了他的银行，并且通过了服务器认证。完成认证过程后，他会得到一个会话 cookie。银行的页面中包含了很多关键信息。现在，他去浏览器他网页，并同时仍然保持银行账户的登陆状态。他可能会刚好访问一个攻击者的网页，在这个网页上攻击者写了不易被察觉的AJAX 代码，这个代码不用经过约翰的同意，就能够发出后台调用给约翰的银行网页，因而能够从银行页面取得关键信息并且把这些信息发送到攻击者的网站。这将导致机密信息的泄漏甚至引发安全突破。 　　4.RSS/Atom 注入 　　这是一项新的dash;它能够往用户的电脑中安装软件或者窃取cookies信息。这就是一个致命的客户端攻击。更糟糕的是，它可以变异。随着RSS和ATOM反馈成为网络应用中整合的组件，在服务器端将数据发布给终端用户之前，过滤特定字符是非常必要的。 　　5.eration 　　dash;这些应用是诸如SQL注入,LDAP注入等类随确认进入的攻击主要，它们能够攻击网络应用的关键资源都是可以做到的。这都增加了能够为攻击者所利用的潜在攻击向量的数量。 　　7.网络服务路由问题 　　网络服务安全协议包括dash;比如，SQL,LDAP,XPATH,命令行解释器并且探索能被 12下一页 友情提醒：，特别！他用来掌握及其内部信息的攻击向量。网络服务代码中错误的或者不够完备的输入确认使网络服务应用易于发生泄漏.这是一个目标指向网络服务所带的网络应用的一项新的攻击向量。 　　9.SOAP消息中的XPATH注入 　　XPATH是一种用来查询XML文档的语言，它跟SQL语句很类似：我们提供某些信息（参数）然后从数据库中得到查询结果。很多语言都支持XPATH 解析的功能。网络应用接收大型XML文档，很多时候这些应用从终端用户和XPATH语句中取得输入量。这些代码的段落对XPATH注入没有什么防御能力。如果XPATH执行成功，攻击者能够绕过认证机制或者造成机密信息的一些损失。现在人们只知道很少部分的能够被攻击者利用的XPATH的漏洞。阻止这个攻击向量的唯一方法就是在给XPATH语句传递变量值的时候提供适当的输入确认。 　　10. RIA瘦客户端二进制的伪造 　　丰富网络应用（RIA）使