在Web2.0下的十大AJAX安全性漏洞以及成因

JavaScript包含的Ajax是Web2.0應用的一個重要組成部分。該部分的進化發展使網路變成了超級平台。該轉變同時也催生了新品種的病毒和蠕蟲，比如Yamanner,Samy 以及Spaceflash等等。Google,Netflix,Yahoo 以及MySpace等門戶網站在過去的幾個月裡都因為新的漏洞而蒙受一定損失。駭客們可以利用這些漏洞進行釣魚，跨網站指令碼(XSS)以及跨網站偽造(XSRF)請求等攻擊。

Ajax中沒有固有的安全性漏洞，但是對該技術向量的適配顯著地改變了網路應用的開發途徑以及方法論。以前，DCOM和CORBA組成核心中介軟體層的時候，將資料和對象序列化非常困難。Ajax使用簡單的GET,POST或者SOAP調用，來轉換XML,HTML,JS Array,JSON,JS Objects以及其他定製的對象；全部這些操作都不需要調用中介軟體層。Ajax的這種綜合能力使應用伺服器與瀏覽器之間的資料交換非常流暢。從伺服器端傳來的資訊動態地被注入到當前的DOM相關環境，然後瀏覽器的DOM狀態重設。在講安全性漏洞之前，我們先來看看促成Web2.0漏洞的關鍵因素。

多重分散的終端點以及隱藏調用——Web2.0應用與Web1.0的主要區別就是資訊訪問機制的區別。比起它的前身Web1.0, Web2.0應用有數個Ajax終點。潛在的Ajax調用分散於整個瀏覽器頁面，並且能夠被各個事件分別調用。開發人員恨難應付Ajax調用的這種分散性，並且由於這些調用是隱藏的，不那麼明顯，它還可能導致代碼不規範。

認證混亂——輸入和輸出內容認證是應用的重要因素之一。Web2.0應用使用橋，mashups,還有反饋等等。很多情況下，它假定“另一方”（讀取伺服器端或者用戶端代碼）已經實現了認證，這種混亂就導致了雙方都沒有實現適當的認證控制。

不受信任的資訊來源——Web2.0應用從很多不受信任的來源比如反饋，部落格，搜尋結果中獲得資訊。這些內容在提供給終端瀏覽器之前從來沒有被認證，這就有可能引發跨網站攻擊。駭客還有可能在瀏覽器中載入JavaScript，以便迫使瀏覽器發出跨域的調用並開啟安全性漏洞。那樣的話，這些致命的漏洞就能被病毒和蠕蟲利用。

資料序列化——瀏覽器可以調用Ajax來實施資料序列化。它可以擷取JS array,Objects,Feeds,XML檔案，HTML 塊以及JSON。如果這些序列塊中的某一個被解析並修改了，駭客們就可以強迫瀏覽器執行惡意指令碼。不受信任資訊與資料序列化的結合，對終端使用者的安全是致命的。

動態指令碼構成和執行——Ajax會建立一個後端通道，從伺服器擷取資料，然後將它傳送給DOM。實現這一點的必要條件就是動態地執行JavaScripts，以便隨時更新DOM或者瀏覽器頁面緩衝的狀態。Ajax通過調用定製的功能或者eval()功能。未經認證的內容或者使用不安全的調用，輕則導致會話內容泄露，重則迫使瀏覽器執行惡意內容等各種後果。

Web2.0應用可能因為上面提到的1個或多個失誤而變得易受攻擊。如果開發人員不夠審慎，沒有花心思在安全管理上的話，那麼伺服器和瀏覽器端都會出現安全問題。以下是10個可能的安全性漏洞的簡要說明。

（1）畸形的JS對象序列

JavaScript支援物件導向編程(OOP)技術。它有很多不同的內建對象，也允許使用者自己建立對象。使用者可以用new object() 或者自己編輯如下代碼來建立新的對象。

message = {
from : "john@example.com",
to : "jerry@victim.com",
subject : "I am fine",
body : "Long message here",
showsubject : function(){document.write(this.subject)}
};

這是一個簡單的訊息對象，其中有2個欄位需要電子郵件地址。我們可以使用Ajax來將該對象序列化並用JavaScript代碼編譯。程式員可以將它賦值到變數或者eval()。如果攻擊者發送嵌入了指令碼的惡意“主題”，那麼讀者就將成為跨網站指令碼攻擊的受害者。JS對象既包含資料也包含方法。對JS對象序列的不當使用將產生可以被詭計多端的注入代碼利用的安全性漏洞。

(2)JSON對注入

JavaScript對象符號(JSON)是一個簡單而有效少量資料交換格式，它包含對象，數組，Hash表，向量以及列表資料結構。JavaScript, Python, C, C++, C# 和Perl languages都支援JSON。JSON序列在Web2.0應用中是個非常有效交換器制。開發人員頻繁使用Ajax和JSON，擷取並傳送必要的資訊給DOM。下面是個簡單的帶有不同的name值對的JSON對象：“bookmarks”對象。

{"bookmarks":[{"Link":"www.example.com","Desc":"Interesting link"}]}

駭客們可以在Link或者Desc中注入惡意指令碼。如果DOM和可執行程式被注入了，XSS目錄也會被注入。這是使終端使用者感染惡意內容的另一種方法。