《Ajax应用安全研究宣以广.docVIP

Ajax应用安全jax作为为eb应用提供丰富事件和语义层次的技术，无可置疑的正在成为互联网和企业信息系统开发的革命性技术其广泛应用也带来的安全性问题本文对jax技术jax安全漏洞jax安全漏洞检测工具介绍。Xuan yiguang (Information Security priority Laboratory of Zhejiang Province,Zhejiang 310012,china) 【Abstract】As providing a wealth of events and semantic levels of technology for the Web application, No doubt Ajax Is becoming an Internet application and enterprise information system developed revolutionary technology. But,Its wide range of applications has also brought a large number of security . The article introduced the Ajax technology, Ajax security vulnerabilities, as well as Ajax security testing tool. 【Keywords】Ajax；Security vulnerabilities；Attacks；Security Testing 一、引言 上世纪九十年代以来，Web应用从互联网领域逐步扩展至企业信息化领域，并替代桌面胖客户机逐渐成为应用开发的主流。传统的Web应用用户交互过程基于页面转换序列，基于多页面界面的交互模型用于开发简单的内容交换方面极具优势，但在开发具备友好的人机交互的应用软件时遇到较大限制。自google地球应用Ajax技术提供了基于Web的地理信息应用以来，Ajax技术正在Web应用领域快速流行，越来越多的互联网应用和企业信息系统都倾向于使用Ajax技术作为改善用户使用信息的方式。作为Web2.0的基础构件之一，Ajax技术正在推动各类传统的桌面类应用如字处理、电子表格、Gis以及复杂表单等并成为Web主流应用，企业信息系统和互联网信息系统正在Ajax、Soa技术的推动下进行重构，并正在成为Web应用的主流趋势。 但是，Ajax技术对开发过程也带来了新课题，jax技术引进的大量事件数据处理复杂的交互过程，都需要软件代码既要具备高性能要具备良好的可维护性，用户交互过程需要完整清晰的定义和测试软件开发人员在考虑应用jax技术时，除了面对传统W应用不同的体系结构区别jax技术应用底层框架环境的选择jax应用的性能响应的设计，还对因采取Ajax技术而引发的独特的安全特点加以必要的考虑。Ajax技术的特点 A(Asynchronous JavaScript and XML)是多种技术的综合，提供了异步的传输接口，克服了旧的eb应用基础体系结构中的一些缺陷，无状态的多页面能够被设计成具备用户状态数据的单页面，用户界面对象能够被单独加以更新，不再需要刷新整个页面对象树浏览器不再只是内容的展示，以完整的应用运行环境的地位出现在系统架构，带有大量代码的客户端应用被动态部署到浏览器，浏览器端产生极为丰富的具有用户应用语义交互事件，负责处理这些事件的异步响应。在基于jax技术设计的系统，服务器端的作用突出于提供用户交互上下文所需的数据集合，一般具有严格的数据类型规范，而不再是松散的展示语言定义的内容Ajax技术的异步事件响应和异步数据传输模式，使得拖拽多重点击等用户界面事件的处理代价极小，系统设计者能够利用异步事件机制实现丰富的用户界面交互过程。 Ajax应用由于只有少量上下文变化需要的数据才会被在浏览器和服务器之间传输数据只是一些特定编码的数据字符或者ml结构化数据能够在浏览器端实现丰富的客户端交互类型大量传统应用无法实现的功能扩展了应用的领域成为互联网和企业信息系统开发的如果jax技术的安全风险得不到软件开发过程的足够重视，对安全加以详细的设计实现和测试，未来伴随其部署增长的，必然是大量的安全漏洞。 jax技术的安全性 尽管能够极大改进W应用的用户体验但是如果jax技术导致eb应用体系结构的变化引起的安全风险在软件设计上没有得到足够重视，jax技术的使用也会为eb应用引入更多的内在安全风险，带来更多的攻击。分析jax的体系结构图可以发现，jax技术包含服务器和客户机两大部分，包含了安全隐患： 部分应用逻辑浏览器，存在被利用的风险 — 浏览器和服务器之间的结构化通讯消息能够被拦截破解 Web服务器内部的功能接口可