WL 6.0.0.1服务器安全 - 是服务器安全的跨站点脚本/ JavaScript代码注入
题
这个问题在我们的项目中提出:
安全性现在在HTTPS下工作,具有MobilesEchurity-Test(XSRF等),包括Android的应用程序真实性。我们的适配器不需要任何用户/通过AUTH,因此没有配置其他领域,身份验证或登录模块。该应用程序可以在wl.client.connect之后立即调用适配器过程。
什么是工作灯在服务器端进行,以防止服务器侧JavaScript代码注入攻击?
有关此类型攻击的详细信息: http://media.blackhat .com / bh-US-11 / SULLIVAN / BH_US_11_SULLIVAN_SERVER_SIDE_WP.pdf
换句话说,(虽然困难)让我们假设有人能够使用我们的APK来创建能够欺骗Worklight Auth /安全机制的新APK,然后我们易受服务器端JavaScript代码注入攻击吗?它几乎归结为问题,如果所有WL Server调用的所有参数都以最大的安全方式从文本评估并解析为JavaScript对象,如果从未有可能将参数文本作为JavaScript代码执行在服务器上?
如果是,则有任何其他类型的可能攻击,即WL Server JavaScript实现是否可以防止我们甚至可能无法意识到?
解决方案
参数由适配器作为String / int / bool / array等接收。适配器框架永远不会评估和执行您的参数,因此除非您在代码中的某处明确地使用eval(param),否则您将很好地使用eval(param)。
另一块保护WL适配器框架在注释中是包装适配器响应。例如。如果您的适配器返回{val:1},则实际响应主体将包含
/* secure {val:1} */
.
这可以防止即使客户端自动评估,也可以执行JS,例如,从<script src="...">
加载时
不隶属于 StackOverflow