JavaScript包含的Ajax是Web2.0應用的一個重要組成部分。該部分的進化發展使網絡變成了超級平台。該轉變同時也催生了新品種的病毒和蠕蟲,比如Yamanner,Samy 以及Spaceflash等等。Google,Netflix,Yahoo 以及MySpace等門戶網站在過去的幾個月裡都因為新的漏洞而蒙受一定損失。黑客們可以利用這些漏洞進行釣魚,跨站點腳本(XSS)以及跨站點偽造(XSRF)請求等攻擊。
Ajax中沒有固有的安全漏洞,但是對該技術向量的適配顯著地改變了網絡應用的開發途徑以及方法論。以前,DCOM和CORBA組成核心中間件層的時候,將數據和對象序列化非常困難。Ajax使用簡單的GET,POST或者SOAP調用,來轉換XML,HTML,JS Array,JSON,JS Objects以及其他定制的對象;全部這些操作都不需要調用中間件層。Ajax的這種綜合能力使應用服務器與浏覽器之間的數據交換非常流暢。從服務器端傳來的信息動態地被注入到當前的DOM相關環境,然後浏覽器的DOM狀態重置。在講安全漏洞之前,我們先來看看促成Web2.0漏洞的關鍵因素。
多重分散的終端點以及隱藏調用——Web2.0應用與Web1.0的主要區別就是信息訪問機制的區別。比起它的前身Web1.0, Web2.0應用有數個Ajax終點。潛在的Ajax調用分散於整個浏覽器頁面,並且能夠被各個事件分別調用。開發者恨難應付Ajax調用的這種分散性,並且由於這些調用是隱藏的,不那麼明顯,它還可能導致代碼不規范。
認證混亂——輸入和輸出內容認證是應用的重要因素之一。Web2.0應用使用橋,mashups,還有反饋等等。很多情況下,它假定“另一方”(讀取服務器端或者客戶端代碼)已經實現了認證,這種混亂就導致了雙方都沒有實現適當的認證控制。
不受信任的信息來源——Web2.0應用從很多不受信任的來源比如反饋,博客,搜索結果中獲得信息。這些內容在提供給終端浏覽器之前從來沒有被認證,這就有可能引發跨站點攻擊。黑客還有可能在浏覽器中加載JavaScript,以便迫使浏覽器發出跨域的調用並打開安全漏洞。那樣的話,這些致命的漏洞就能被病毒和蠕蟲利用。
數據序列化——浏覽器可以調用Ajax來實施數據序列化。它可以獲取JS array,Objects,Feeds,XML文件,HTML 塊以及JSON。如果這些序列塊中的某一個被解析並修改了,黑客們就可以強迫浏覽器執行惡意腳本。不受信任信息與數據序列化的結合,對終端用戶的安全是致命的。
動態腳本構成和執行——Ajax會建立一個後端通道,從服務器獲取數據,然後將它傳送給DOM。實現這一點的必要條件就是動態地執行JavaScripts,以便隨時更新DOM或者浏覽器頁面緩存的狀態。Ajax通過調用定制的功能或者eval()功能。未經認證的內容或者使用不安全的調用,輕則導致會話內容洩露,重則迫使浏覽器執行惡意內容等各種後果。
Web2.0應用可能因為上面提到的1個或多個失誤而變得易受攻擊。如果開發者不夠審慎,沒有花心思在安全管理上的話,那麼服務器和浏覽器端都會出現安全問題。以下是10個可能的安全漏洞的簡要說明。
(1)畸形的JS對象序列
JavaScript支持面向對象編程(OOP)技術。它有很多不同的內置對象,也允許用戶自己創建對象。使用者可以用new object() 或者自己編輯如下代碼來創建新的對象。
message = { from : "john@example.com", to : "jerry@victim.com", subject : "I am fine", body : "Long message here", showsubject : function(){document.write(this.subject)} };
這是一個簡單的消息對象,其中有2個字段需要電子郵件地址。我們可以使用Ajax來將該對象序列化並用JavaScript代碼編譯。程序員可以將它賦值到變量或者eval()。如果攻擊者發送嵌入了腳本的惡意“主題”,那麼讀者就將成為跨站點腳本攻擊的受害者。JS對象既包含數據也包含方法。對JS對象序列的不當使用將產生可以被詭計多端的注入代碼利用的安全漏洞。
(2)JSON對注入
JavaScript對象符號(JSON)是一個簡單而有效的少量數據交換格式,它包含對象,數組,Hash表,向量以及列表數據結構。JavaScript, Python, C, C++, C# 和Perl languages都支持JSON。JSON序列在Web2.0應用中是個非常有效的交換機制。開發者頻繁使用Ajax和JSON,獲取並傳送必要的信息給DOM。下面是個簡單的帶有不同的name值對的JSON對象:“bookmarks”對象。
{"bookmarks":[{"Link":"www.example.com","Desc":"Interesting link"}]}
黑客們可以在Link或者Desc中注入惡意腳本。如果DOM和可執行程序被注入了,XSS目錄也會被注入。這是使終端用戶感染惡意內容的另一種方法。
(3)JS數組中毒
JS數組是另一個比較普遍的序列化對象。人們可以很容易地跨平台移植它,並且它在使用不同語言的結構中也很有效。感染一個JS數組可以擾亂整個DOM環境。黑客們可以在浏覽器中使用簡單的跨站點腳本攻擊JS數組。下面是一個JS數組的例子:
new Array(“Laptop”, “Thinkpad”, “T60”, “Used”, “900$”, “It is great and I have used it for 2 years”)
該數組是從一個拍賣二手筆記本的網站傳出來的。如果這個數組對象在服務器端沒有被仔細處理,黑客就可以在最後字段中注入腳本。這種注入將危及浏覽器安全並被攻擊者利用。
(4)被修改的XML數據流
Ajax調用接受來自多個地址的XML。這些XML塊來自運行在SOAP,REST或者XML-RPC的網絡服務。這些網絡服務是由從第三方的代理橋那裡接收過來的。如果這些第三方XML數據流被攻擊者修改過,那麼攻擊者就可能向其中注入惡意內容。
浏覽器從它自帶的XML解析器接收該數據流。該解析器容易受不同的XML炸彈的攻擊。人們也可以在該數據流中注入腳本,這樣就可以導致跨站點腳本攻擊(XSS)。浏覽器接收未經認證的XML數據流的話,這就會危及終端客戶端的安全。
(5)DOM中腳本注入
前四個漏洞都是由於序列化問題引起的。一旦浏覽器收到序列化的對象數據流,開發者會發出某種調用來訪問DOM。這種調用的目的是將新內容“重寫”或者“重填”入DOM中,可以調用eval()這個定制功能,也可以使用document.write()。如果這些調用是在不受信任信息流上進行的,浏覽器就有可能由於DOM的操作漏洞而受攻擊。攻擊者可以用很多document.*()調用來向DOM環境中注入XSS。
例如,這段JavaScript代碼:Document.write(product-review)。
在這裡,“Product-review”是從第三方blog上獲得的變量。如果它含有JavaScript會怎樣?答案很明顯。這個JavaScript就會被浏覽器運行。
(6)跨域訪問和回調
Ajax不能從浏覽器跨域訪問。所有比較流行的浏覽器都有個安全特性,那就是攔截跨域訪問。一些網站服務為對象序列提供回調功能。開發者可以使用這個功能來把網站服務整合到浏覽器本身。人們可以把該功能名傳回,這樣浏覽器一找到回調對象數據流,它就會被浏覽器中早已有的特殊功能名執行。
這個回調對使用浏覽器內認證的開發者來說是個額外負擔。如果輸入的對象數據流未經浏覽器認證那麼終端客戶端就會成為跨域攻擊的目標。不管是有意還是無意的,跨域服務可以向浏覽器中注入惡意內容。該跨域調用在當前DOM環境中運行,於是導致當前對話也易受攻擊。在實現應用之前,人們需要仔細檢查整個跨域功能。
(7)RSS和Atom注入
聯合的反饋,RSS以及Atom,是最普遍的一種將站點更新信息傳到網絡上的方法。許多新聞,博客,門戶站點等等,都在網絡上共享多個反饋。反饋是標准的XML文檔,並且可以被任何程序接收。Web2.0應用使用窗口小部件或者浏覽器內部元件整合了聯合反饋。這些組件調用Ajax來訪問反饋。
這些反饋可以被終端用戶方便地選擇。一旦用戶選擇了它們,這些反饋就會被解析並注入到DOM中。那麼如果這個反饋在注入之前沒有被適當地認證過,就會出現一些安全問題。人們可以往浏覽器中注入惡意鏈接或者JavaScript代碼。注入之後,就大事不妙了,最終結果是XSS和對話被黑客攔截。
(8)單擊炸彈
Web2.0應用可能不會很簡單地就被黑客攻下,但他們可以對它進行基於事件的注入。人們可以將帶有"onclick"字樣的惡意鏈接用JavaScript注入。這樣,浏覽器就帶著個隨時等待終端用戶右鍵點擊來觸發的炸彈。一旦用戶點擊了鏈接或按鈕,能夠啟動炸彈的那個事件被啟動了,那麼攻擊就成功了。此類攻擊會導致對話被惡意代碼攔截。
這也是由於人們從那些沒有經過正確驗證的不受信任源處獲得的信息,所導致的安全漏洞。為了利用該安全漏洞,它需要終端客戶端觸發一個事件。這個事件也許是諸如點擊按鈕或者鏈接的這種無害事件,但是點擊後就使會用戶損失慘重。它可能引起某個惡意事件,將當前對話信息發送給目標,又或者在當前浏覽器環境中執行一系列腳本攻擊。
(9) 基於Flash的跨域訪問
黑客們可以使用Flash插件的Ajax接口,從而用浏覽器中的JavaScritps發出GET和POST請求。這個接口使黑客們能進行跨域調用。為了避免安全問題,該Flash插件實現了根據策略訪問其他域的功能。該策略可以通過在域的根部放置crossdomain.xml文件來配置。如果放置的文件配置不當——很普遍的現象——它就可能允許跨域訪問。下面是一個配置不當的XML文檔:
現在可以從浏覽器自身發出跨域調用了。這個結構還有一些其他安全問題。基於Flash的豐富網絡應用(RIA)如果配置錯誤的話,很容易由於Ajax的跨域訪問Bug而被攻擊。
(10) XSRF
跨域偽造請求(XSRF)是個老牌的攻擊向量了,它迫使浏覽器向不同的域發出HTTP GET或者POST請求;這些請求可以跨域在運行的應用邏輯中啟動某種事件。它可能請求修改密碼或者電子郵件地址等。浏覽器調用它後,它重放cookie並獲得身份認證。這就是該請求的關鍵部分。如果某個應用只根據cookie來判識身份,那麼該攻擊就會成功。
Web2.0中Ajax是就XML-RPC,SOAP或者REST與後端網絡服務進行對話的,通過GET和POST可以進行這些調用。換句話說,人們可以對這些網絡服務進行跨站點調用,從而危及受害者與網絡服務接口的身份信息。XSRF這個攻擊向量很有趣,它在這個新界定的端點情況中創造了新的層次。這些終點可能是為Ajax或者網絡服務而准備的,但它們也有可能被跨域請求所激活。
對安全漏洞的攻擊以及相應對策
Web2.0應用有多個終端點;每個點都是威脅的侵入點。為了保證安全,我們應當保護好所有這些點。在將第三方信息發送給客戶端之前要對其進行徹底處理。
為了處理Ajax序列,必須在它們到達DOM之前對輸入數據流進行驗證。XML解析以及跨域安全問題也需要額外重視,並實施更好的安全管理措施。我們應當遵循那個最簡單最笨拙的原則:不讓未經認證的跨域信息進入浏覽器。有趣的是,到目前為止,安全專家們都不主張使用客戶端腳本來進行輸入驗證,因為這很容易被規避掉。
Web2.0促成了很多浏覽器安全相關的新的漏洞。利用這些安全漏洞很難但不是不可能。安全問題以及促成因素結合起來將嚴重影響那些大的網絡團體,比如能被攻擊者蠕蟲和病毒利用的那些組織。最終將導致身份信息的洩漏。
結論
本文簡單地講了一些可能出現的關於Ajax漏洞。還有很多其他潛在的漏洞,比如利用跨域代理來在浏覽器中建立單項通道或者存儲變量。
Web2.0中很多邏輯都轉到了客戶端。這會將整個應用暴露給一些嚴重的威脅。對整合來自多方的、不受信源的數據的迫切要求也將全面增加風險向量:XSS,XSRF,跨域問題以及客戶端上的序列,還有不安全的網站服務,服務器端的XML-RPC和REST訪問。相反地,Ajax可被用來構造優美的無縫數據整合。但是,任一不安全的調用或者信息流都會使其產事與願違的效果,從而促成可被利用的安全漏洞。
這些新技術向量很有前景,令很多人興奮不已,但是攻擊者,病毒和蠕蟲作者對它更感興趣。為了保障安全,開發者應當在這些細節方面格外小心。