组件:a)客户端script语言 b)XmlHttpRequest (XHR) object c)xml
script:
初始化到server的调用,按需
获取或
update本地浏览器中的
dom,
XHR object:
script 调用 xhr object
通过http/https 向server 发送 请求. 请求都由服务器端处理,eg:php,j2ee,.net
xml: 信息交换的数据格式。(也可以是其他格式,
json,动态的插入html)
术语:JSON -->javascript 对象
xpath-->
security implications with ajax(ajax的安全影响)
1)ajax本身并没有带来 新的安全漏洞。
2) 由于对于ajax的最佳实现没有一个统一安全的标准,使得ajax继承了classic的 web程序漏洞。
3) 由于anybody可以任意的改变本地代码,所以
安全控制的代码,应该在server端实现。
4) 由于ajax实现 的复杂性,应确保 不带来新的安全漏洞。确保不增大 攻击面
5) 使xss的实现更隐蔽。
pentest:
- Requests initiated through timer events (有些程序会根据时间自动更新,所以如果很难掌握)
- Dynamic DOM updates (因为是触发更新,所以dom的改变十分的细腻)
- XML Fuzzing (工具可能对xml不能很好的处理)
----------------------------------------------------------------
XHR object:
1) 支持所有基于文本的格式,包括xml
2) 支持http,https
3) 支持所有http的请求/应答 方法
阅读(2103) | 评论(0) | 转发(0) |
