WL 6.0.0.1 Security Server - Il server è sicuro dall'iniezione di scripting / codice JavaScript
https://stackoverflow.com//questions/20011643
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Questa domanda è venuta nel nostro progetto:
La sicurezza ora funziona con HTTPS con un test dicurity-mobiles (XSRF, ecc.) che include l'autenticità dell'app per Android. I nostri adattatori non richiedono alcun utente di utenti / pass, quindi non ci sono altri regni, autenticazione o moduli di login configurati. L'app può chiamare le procedure dell'adattatore subito dopo WL.Client.Connect.
Che cosa sta facendo il lavoro sul lato del server per impedire attacchi di iniezione del codice JavaScript del lato server?
Dettagli su questo tipo di attacco: http://media.blackhat .com / BH-US-11 / Sullivan / bh_us_11_sullivan_server_side_wp.pdf
In altre parole, (anche se difficile) Assumiamo che qualcuno sia stato in grado di utilizzare il nostro APK per creare un nuovo APK che è stato in grado di ingannare il meccanismo di autenticazione / meccanismo di sicurezza del lavoro, siamo quindi vulnerabili a un attacco di iniezione del codice JavaScript del lato server?
Si riduce praticamente sulla domanda se tutti i parametri per tutte le chiamate del server WL vengono valutate e analizzati dal testo in oggetti JavaScript in modo più sicuro e se non c'è mai una possibilità che il testo del parametro possa essere eseguito come codice JavaScript sul server?
In caso affermativo, ci sono altri tipi di possibili attacchi che l'implementazione JavaScript WL Server è fissata contro ciò che potremmo nemmeno essere a conoscenza?
Soluzione
I parametri vengono ricevuti da adattatori come stringa / INT / BOOL / array, ecc. Il framework dell'adattatore non valuterà mai ed esegue mai i parametri, quindi a meno che non utilizzi esplicitamente Eval (param) da qualche parte nel tuo codice che stai bene.
Un altro framework dell'adattatore WL del pezzo di protezione è la risposta dell'adattatore in contrasto nel commento.Per esempio.Se il tuo adattatore torna {VAL: 1} Il corpo di risposta effettivo conterrà
/* secure {val:1} */
Questo impedisce che JS sia eseguito anche se valutato automaticamente da un client, ad es.Quando caricato da un <script src="...">
