Ανίχνευση ευπαθειών στο Web 2.0 απο τη πλευρά του φυλλομετρητή (1ο μέρος)

Συγγραφέας: Shreeraj Shah (2006-11-27)

Μετάφραση: Γεράσιμος Κασσάρας, IT Risk Consultant,Msc in Information Security, CISSP

Αρχική δημοσίευση: Security Focus

Εισαγωγή

Αυτό το άρθρο είναι απόσπασμα από το SecurityFocus.com, και σαν απώτερο σκοπό του έχει να περιγράψει την πολυπλοκότητα αυτοματοποιημένης ανίχνευσής ευπαθειών στις εφαρμογές Web 2.0.

Οι Web 2.0 εφαρμογές είναι ένας συνδυασμός διάφορων τεχνολογιών όπως Asynchronous JavaScript, XML (AJAX), Flash, JavaScript Object Notation (JSON), Simple Object Access πρωτόκολλο (SOAP) και  Representational State Transfer (REST). Όλες αυτές οι τεχνολογίες, μαζί με την πρόσβαση πληροφοριών από διαφορετικά domains (cross-domain information access), συμβάλλουν στην πολυπλοκότητα των διαφόρων Web 2.0 εφαρμογών. Βλέπουμε γενικότερα μια ανάπτυξη νέων τεχνολογιών από την πλευρά του φυλλομετρητή, με τη χρήση βιβλιοθηκών.

Όλες αυτές οι αλλαγές σημαίνουν νέες προκλήσεις για τα αυτοματοποιημένα εργαλεία ανίχνευσης ευπαθειών σε εφαρμογές Web 2.0 αλλά και τους επαγγελματίες ασφάλειας πληροφορικής. Οι βασικοί στόχοι εκμάθησης αυτού του άρθρου είναι να γίνουν κατανοητές οι ακόλουθες τεχνικές έννοιες:

1. Η πολυπλοκότητα και οι προκλήσεις αυτοματοποιημένης ανίχνευσής στις εφαρμογές Web 2.0.
2. Μεθοδολογία αυτοματοποιημένης ανίχνευσής ευπαθειών στις τεχνολογίες Web 2.0 φυλλομετρητή.
3. Web 2.0 ανίχνευση ευπάθειών XSS σε RSS feeds.
4. Cross-domain injection με JSON.
5. Αντίμετρα με τη χρήση φίλτρων από τη μεριά του φυλλομετρητή.

Web 2.0 και πολυπλοκότητα αυτοματοποιημένης ανίχνευσής

Οι Web 2.0 εφαρμογές έχουν μεγάλη πολυπλοκότητα και οι μεθοδολογίες αυτοματοποιημένης ανίχνευσής αποτελούν μια πρόκληση. Η πολυπλοκότητα μπορεί να αποδοθεί στους ακόλουθους παράγοντες:

1. Rich client interfaces – Οι τεχνολογίες AJAX και Flash παρέχουν Rich client interfaces στις εφαρμογές με σύνθετα JavaScripts και Actionscripts, που καθιστούν δύσκολο το προσδιορισμό της λογικής της εφαρμογής και τους κρίσιμους πόρους που κρύβονται πίσω από τον JavaScript και Actionscript κώδικα της εφαρμογής.

2. Πηγές πληροφοριών – Οι εφαρμογές καταναλώνουν πληροφορίες  ( είναι Web 2.0 Services Consumers ) από διάφορες πηγές και building up mashups  μέσα σε διάφορους ιστιότοπους. Μια εφαρμογή  συγχωνεύει τα RSS feeds ή blogs από τις διαφορετικές τοποθεσίες και χτίζει μια μεγάλη αποθήκη των πληροφοριών σε μια ενιαία τοποθεσία στο διαδίκτυο.

3. Δομές δεδομένων – H ανταλλαγή των δεδομένων μεταξύ των εφαρμογών γίνεται χρησιμοποιώντας XML, JSON, Java script arrays και άλλες κατάλληλες δομές.

4. Πρωτόκολλα – εκτός από το απλό HTTP GET και POST, οι εφαρμογές μπορούν να επιλέξουν από μια σειρά διαφορετικών πρωτοκόλλων όπως το SOAP, το REST και xml-RPC.

Η  κατηγορία εφαρμογών που μας απασχολεί μπορεί να έχει πρόσβαση σε πολλαπλά RSS feeds, ανταλλάσσοντας πληροφορίες με blogs χρησιμοποιώντας JSON, και επικοινωνώντας με χρηματιστηριακά portal μέσω Web υπηρεσιών πάνω από το προτόκολο SOAP. Όλες αυτές οι υπηρεσίες συσσωρεύονται υπό μορφή πλούσιων εφαρμογών Διαδικτύου (Rich Information Applications) χρησιμοποιώντας AJAX ή/και Flash.

Advertisements

0 Responses to “Ανίχνευση ευπαθειών στο Web 2.0 απο τη πλευρά του φυλλομετρητή (1ο μέρος)”



  1. Leave a Comment

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s





%d bloggers like this: