翰文个人计算机学习网
  • 翰文快讯
  • 翰文PC快讯
  • 综合软件区
  • 操作系统
  • 注册表解析
  • Windows系列
  • Unix/Linux
  • 其他系统
  • 应用软件
  • 微软MS Office
  • WPS Office
  • 多媒体软件
  • 图像处理
  • Photoshop
  • Painter
  • Illustrator
  • CorelDRAW
  • 三维空间
  • AutoCAD
  • 3DMAX
  • 3DMAYA
  • 硬件资源
  • 攒机指南
  • 硬件超频
  • 维修指南
  • 网络资源
  • 在线通讯
  • 网上冲浪
  • 浏览器中心
  • 网络故障解析
  • 病毒资料
  • 病毒通报
  • 病毒防治
  • 病毒常识
  • 黑客技巧
  • SQL/MySQL
  • Oracle
  • Delphi
  • 编程资源
  •  C/C#/C++/VC++/VC.NET
  •  Basic/VB/VB.NET/VBScript
  •  FoxBasic/FoxPro/VF/VF.NET
  •  Java/JavaScript
  • PowerBuilder
  • 热门词:
  • 翰文计算机学习网首页
  • >
  • Java/JavaScript
  • >
  • AJAX代码复杂性及安全性简析
  • AJAX代码复杂性及安全性简析

  • 资源来源:
  • HW-PCS.ORG
  • 资源作者:
  • 翰文计算机学习网
  • 人气指数:
  • [2279]
  •   AJAX代码复杂性

      一、多种语言和架构

      客户端:vbscript,javascript

      服务器端:java,c#,php,ruby on rails,python,perl

      表现层:html css

      转换语言:xml,xslt,SOAP

      查询语言:SQL

      二、javascript特性

      1、解释型语言,每一次错误都是运行时错误。难重现,难定位

      2、弱类型:对变量不做检查,所有隐式声明的变量都会被认为是全局变量

      三、异步性

      一个通过异步方式处理数据的应用程序会同时执行多个线程,要正确协调好这些线程非常困难。最常见的问题就是竞争条件:e.g.银行系统中的存取款功能,应用程序只有在很大的负载压力下才会暴露出线程方面的漏洞

      应用程序的常见

      1、像API一样的web应用程序,过度细化服务端,使得攻击者有机会控制程序的流程(透明性)

      2、身份认证

      3、与用户相关的敏感数据硬编码在代码中

      4、在javascript中存储会话状态,例如存储在隐藏的表单域或者cookie中

      5、包含在的注释及文档

      6、在进行数据交换,将原始的数据转换为HTML代码,在许多情况下,返回的响应信息中包含的都是XML或者JSON格式的原始数据

      透明性,可以通过代码混淆来隐藏应用程序逻辑的很好办法。

      劫持应用程序

      JavaScript的动态特性使得其他程序可以自动修改某个应用程序的源代码。方法冲突(在同一个作用域内,最后声明的同名方法会默认覆盖掉之前的方法声明)不仅可以用来重写某个方法的实现,还可以被动监视程序中的数据流向。任何人都可以对代码进行反向工程分析,即使它是一部分一部分动态加载的。由某个用户定义的方法不仅能覆盖其他用户定义的方法,还可以覆盖像window.alert()这样的内置方法,甚至是原生的对象构造方法。这使得攻击者可以实现JSON劫持攻击,窃取由返回的JSON内容。

    感谢您对翰文计算机学习网的支持

  • 上一条:暂无资讯
  • 下一条敏捷开发模型(agile)与英式橄榄球争
  • 关于我们
  • 联系方式
  • 成功案例
  • 技术报价
  • RSS索引
  • 网站地图
  • 翰文电脑学习网
  • MSN:LNDDYGYC9@HOTMAIL.COM Powered by 翰文个人计算机学习网 版权所有,未经允许不得转载
    ICP备案号码:[沪ICP备12020678号] Copyright 2008-2020 HW-PCS.ORG, All Rights Reserved.