Web2.0十大Ajax安全漏洞以及成因

JavaScript包含的Ajax是Web2.0應用的一個重要組成部分。該部分的進化發展使網絡變成了 超級平台。該轉變同時也催生了新品種的病毒和蠕蟲，比如Yamanner,Samy 以及Spaceflash等等。Google,Netflix,Yahoo 以及MySpace等門戶網站在過去的幾個月裡都因為新的漏洞而蒙受一定損失。黑客們可以利用這些漏洞進行釣魚，跨站點腳本(XSS)以及跨站點僞造 (XSRF)請求等攻擊。

Ajax中沒有固有的安全漏洞，但是對該技術向量的适配顯著地改變了網絡應用的開發途徑以及方法論。以 前，DCOM和CORBA組成核心中間件層的時候，将資料和對象序列化非常困難。Ajax使用簡單的GET,POST或者SOAP調用，來轉換 XML,HTML,JS Array,JSON,JS Objects以及其他定制的對象；全部這些操作都不需要調用中間件層。Ajax的這種綜合能力使應用伺服器與浏覽器之間的資料交換非常流暢。從伺服器端 傳來的資訊動态地被注入到目前的DOM相關環境，然後浏覽器的DOM狀态重置。在講安全漏洞之前，我們先來看看促成Web2.0漏洞的關鍵因素。

多重分散的終端點以及隐藏調用——Web2.0應用與Web1.0的主要差別就是資訊通路機制的差別。比起 它的前身Web1.0, Web2.0應用有數個Ajax終點。潛在的Ajax調用分散于整個浏覽器頁面，并且能夠被各個事件分别調用。開發者恨難應付Ajax調用的這種分散性， 并且由于這些調用是隐藏的，不那麼明顯，它還可能導緻代碼不規範。

認證混亂——輸入和輸出内容認證是應用的重要因素之一。Web2.0應用使用橋，mashups,還有回報等等。很多情況下，它假定“另一方”（讀取伺服器端或者用戶端代碼）已經實作了認證，這種混亂就導緻了雙方都沒有實作适當的認證控制。

不受信任的資訊來源——Web2.0應用從很多不受信任的來源比如回報，部落格，搜尋結果中獲得資訊。這些内 容在提供給終端浏覽器之前從來沒有被認證，這就有可能引發跨站點攻擊。黑客還有可能在浏覽器中加載JavaScript，以便迫使浏覽器發出跨域的調用并 打開安全漏洞。那樣的話，這些緻命的漏洞就能被病毒和蠕蟲利用。

資料序列化——浏覽器可以調用Ajax來實施資料序列化。它可以擷取JS array,Objects,Feeds,XML檔案，HTML 塊以及JSON。如果這些序列塊中的某一個被解析并修改了，黑客們就可以強迫浏覽器執行惡意腳本。不受信任資訊與資料序列化的結合，對終端使用者的安全是緻 命的。

動态腳本構成和執行——Ajax會建立一個後端通道，從伺服器擷取資料，然後将它傳送給DOM。實作這一點 的必要條件就是動态地執行JavaScripts，以便随時更新DOM或者浏覽器頁面緩存的狀态。Ajax通過調用定制的功能或者eval()功能。未經 認證的内容或者使用不安全的調用，輕則導緻會話内容洩露，重則迫使浏覽器執行惡意内容等各種後果。

Web2.0應用可能因為上面提到的1個或多個失誤而變得易受攻擊。如果開發者不夠審慎，沒有花心思在安全管理上的話，那麼伺服器和浏覽器端都會出現安全問題。以下是10個可能的安全漏洞的簡要說明。

（1）畸形的JS對象序列

JavaScript支援面向對象程式設計(OOP)技術。它有很多不同的内置對象，也允許使用者自己建立對象。使用者可以用new object() 或者自己編輯如下代碼來建立新的對象。

message = {

from : "[email protected]",

to : "[email protected]",

subject : "I am fine",

body : "Long message here",

showsubject : function(){document.write(this.subject)}

};

這是一個簡單的消息對象，其中有2個字段需要電子郵件位址。我們可以使用Ajax來将該對象序列化并用JavaScript代碼編譯。程式員可以将它指派 到變量或者eval()。如果攻擊者發送嵌入了腳本的惡意“主題”，那麼讀者就将成為跨站點腳本攻擊的受害者。JS對象既包含資料也包含方法。對JS對象 序列的不當使用将産生可以被詭計多端的注入代碼利用的安全漏洞。

(2)JSON對注入

JavaScript對象符号(JSON)是一個簡單而有效的少量資料交換格式，它包含對象，數組，Hash表，向量以及清單資料結構。 JavaScript, Python, C, C++, C# 和Perl languages都支援JSON。JSON序列在Web2.0應用中是個非常有效的交換機制。開發者頻繁使用Ajax和JSON，擷取并傳送必要的資訊 給DOM。下面是個簡單的帶有不同的name值對的JSON對象：“bookmarks”對象。

{"bookmarks":[{"Link":"www.example.com","Desc":"Interesting link"}]}

黑客們可以在Link或者Desc中注入惡意腳本。如果DOM和可執行程式被注入了，XSS目錄也會被注入。這是使終端使用者感染惡意内容的另一種方法。

(3)JS數組中毒

JS數組是另一個比較普遍的序列化對象。人們可以很容易地跨平台移植它，并且它在使用不同語言的結構中也很有效。感染一個JS數組可以擾亂整個DOM環境。黑客們可以在浏覽器中使用簡單的跨站點腳本攻擊JS數組。下面是一個JS數組的例子：

new Array(“Laptop”, “Thinkpad”, “T60”, “Used”, “900$”, “It

is great and I have used it for 2 years”)

該數組是從一個拍賣二手筆記本的網站傳出來的。如果這個數組對象在伺服器端沒有被仔細處理，黑客就可以在最後字段中注入腳本。這種注入将危及浏覽器安全并被攻擊者利用。

(4)被修改的XML資料流

Ajax調用接受來自多個位址的XML。這些XML塊來自運作在SOAP,REST或者XML-RPC的網絡服務。這些網絡服務是由從第三方的代理橋那裡接收過來的。如果這些第三方XML資料流被攻擊者修改過，那麼攻擊者就可能向其中注入惡意内容。

浏覽器從它自帶的XML解析器接收該資料流。該解析器容易受不同的XMLZhaDan的攻擊。人們也可以在該資料流中注入腳本，這樣就可以導緻跨站點腳本攻擊(XSS)。浏覽器接收未經認證的XML資料流的話，這就會危及終端用戶端的安全。

(5)DOM中腳本注入

前四個漏洞都是由于序列化問題引起的。一旦浏覽器收到序列化的對象資料流，開發者會發出某種調用來通路DOM。這種調用的目的是将新内容“重寫”或 者“重填”入DOM中，可以調用eval()這個定制功能，也可以使用document.write()。如果這些調用是在不受信任資訊流上進行的，浏覽 器就有可能由于DOM的操作漏洞而受攻擊。攻擊者可以用很多document.*()調用來向DOM環境中注入XSS。

例如，這段JavaScript代碼：Document.write(product-review)。

在這裡，“Product-review”是從第三方blog上獲得的變量。如果它含有JavaScript會怎樣？答案很明顯。這個JavaScript就會被浏覽器運作。

（6）跨域通路和回調

Ajax不能從浏覽器跨域通路。所有比較流行的浏覽器都有個安全特性，那就是攔截跨域通路。一些網站服務為對象序列提供回調功能。開發者可以使用這 個功能來把網站服務整合到浏覽器本身。人們可以把該功能名傳回，這樣浏覽器一找到回調對象資料流，它就會被浏覽器中早已有的特殊功能名執行。

這個回調對使用浏覽器内認證的開發者來說是個額外負擔。如果輸入的對象資料流未經浏覽器認證那麼終端用戶端就會成為跨域攻擊的目标。不管是有意還是 無意的，跨域服務可以向浏覽器中注入惡意内容。該跨域調用在目前DOM環境中運作，于是導緻目前對話也易受攻擊。在實作應用之前，人們需要仔細檢查整個跨 域功能。

（7）RSS和Atom注入

聯合的回報，RSS以及Atom,是最普遍的一種将站點更新資訊傳到網絡上的方法。許多新聞，部落格，門戶站點等等，都在網絡上共享多個回報。回報是 标準的XML文檔，并且可以被任何程式接收。Web2.0應用使用視窗小部件或者浏覽器内部元件整合了聯合回報。這些元件調用Ajax來通路回報。

這些回報可以被終端使用者友善地選擇。一旦使用者選擇了它們，這些回報就會被解析并注入到DOM中。那麼如果這個回報在注入之前沒有被适當地認證過，就 會出現一些安全問題。人們可以往浏覽器中注入惡意連結或者JavaScript代碼。注入之後，就大事不妙了，最終結果是XSS和對話被黑客攔截。

（8）單擊ZhaDan

Web2.0應用可能不會很簡單地就被黑客攻下，但他們可以對它進行基于事件的注入。人們可以将帶有"onclick"字樣的惡意連結用 JavaScript注入。這樣，浏覽器就帶着個随時等待終端使用者右鍵點選來觸發的ZhaDan。一旦使用者點選了連結或按鈕，能夠啟動ZhaDan的那個事件被啟動了，那 麼攻擊就成功了。此類攻擊會導緻對話被惡意代碼攔截。

這也是由于人們從那些沒有經過正确驗證的不受信任源處獲得的資訊，所導緻的安全漏洞。為了利用該安全漏洞，它需要終端用戶端觸發一個事件。這個事件 也許是諸如點選按鈕或者連結的這種無害事件，但是點選後就使會使用者損失慘重。它可能引起某個惡意事件，将目前對話資訊發送給目标，又或者在目前浏覽器環境 中執行一系列腳本攻擊。

(9) 基于Flash的跨域通路

黑客們可以使用Flash插件的Ajax接口，進而用浏覽器中的JavaScritps發出GET和POST請求。這個接口使黑客們能進行跨域調 用。為了避免安全問題，該Flash插件實作了根據政策通路其他域的功能。該政策可以通過在域的根部放置crossdomain.xml檔案來配置。如果 放置的檔案配置不當——很普遍的現象——它就可能允許跨域通路。下面是一個配置不當的XML文檔：

現在可以從浏覽器自身發出跨域調用了。這個結構還有一些其他安全問題。基于Flash的豐富網絡應用(RIA)如果配置錯誤的話，很容易由于Ajax的跨域通路Bug而被攻擊。

(10) XSRF

跨域僞造請求(XSRF)是個老牌的攻擊向量了，它迫使浏覽器向不同的域發出HTTP GET或者POST請求；這些請求可以跨域在運作的應用邏輯中啟動某種事件。它可能請求修改密碼或者電子郵件位址等。浏覽器調用它後，它重放cookie 并獲得身份認證。這就是該請求的關鍵部分。如果某個應用隻根據cookie來判識身份，那麼該攻擊就會成功。

Web2.0中Ajax是就XML-RPC,SOAP或者REST與後端網絡服務進行對話的，通過GET和POST可以進行這些調用。換句話說，人 們可以對這些網絡服務進行跨站點調用，進而危及受害者與網絡服務接口的身份資訊。XSRF這個攻擊向量很有趣，它在這個新界定的端點情況中創造了新的層 次。這些終點可能是為Ajax或者網絡服務而準備的，但它們也有可能被跨域請求所激活。

對安全漏洞的攻擊以及相應對策

Web2.0應用有多個終端點；每個點都是威脅的侵入點。為了保證安全，我們應當保護好所有這些點。在将第三方資訊發送給用戶端之前要對其進行徹底處理。

為了處理Ajax序列，必須在它們到達DOM之前對輸入資料流進行驗證。XML解析以及跨域安全問題也需要額外重視，并實施更好的安全管理措施。我 們應當遵循那個最簡單最笨拙的原則：不讓未經認證的跨域資訊進入浏覽器。有趣的是，到目前為止，安全專家們都不主張使用用戶端腳本來進行輸入驗證，因為這 很容易被規避掉。

Web2.0促成了很多浏覽器安全相關的新的漏洞。利用這些安全漏洞很難但不是不可能。安全問題以及促成因素結合起來将嚴重影響那些大的網絡團體，比如能被攻擊者蠕蟲和病毒利用的那些組織。最終将導緻身份資訊的洩漏。

結論

本文簡單地講了一些可能出現的關于Ajax漏洞。還有很多其他潛在的漏洞，比如利用跨域代理來在浏覽器中建立單項通道或者存儲變量。

Web2.0中很多邏輯都轉到了用戶端。這會将整個應用暴露給一些嚴重的威脅。對整合來自多方的、不受信源的資料的迫切要求也将全面增加風險向 量：XSS,XSRF,跨域問題以及用戶端上的序列，還有不安全的網站服務，伺服器端的XML-RPC和REST通路。相反地，Ajax可被用來構造優美 的無縫資料整合。但是，任一不安全的調用或者資訊流都會使其産事與願違的效果，進而促成可被利用的安全漏洞。

這些新技術向量很有前景，令很多人興奮不已，但是攻擊者，病毒和蠕蟲作者對它更感興趣。為了保障安全，開發者應當在這些細節方面格外小心。