WL 6.0.0.1サーバセキュリティ - クロスサイトスクリプティング/ JavaScriptコードインジェクションから安全なサーバー
質問
この質問は私たちのプロジェクトに起きました:
セキュリティは、Androidのアプリの認証性を含むMobileSecurity-Test(XSRFなど)を使用してHTTPSの下で機能します。私たちのアダプタはユーザー/パス認証を必要としませんので、他のレルム、認証、またはログインモジュールが構成されていません。アプリはwl.client.connectの直後にアダプタプロシージャを呼び出すことができます。
サーバー側でのWorklightはサーバー側のJavaScriptコード注入攻撃を防ぐために何をしていますか?
このタイプの攻撃の詳細: http://media.blackhat .com / bh-us-11 / sullivan / bh_us_11_sullivan_server_side_wp.pdf
言い換えれば(難しいですが)Worklight Auth / Securityメカニズムをだますことができた新しいAPKを作成するために誰かが私たちのAPKを使用できたと仮定しましょう。その後、サーバー側のJavaScriptコードインジェクション攻撃に脆弱ですか?すべてのWLサーバ呼び出しのすべてのパラメータが評価され、テキストから最大の安全な方法でテキストから解析され、パラメータテキストがJavaScriptコードとして実行できる可能性がある場合は、質問まで煮詰まります。サーバー上の?
もしそうであれば、WLサーバJavaScript実装が確保されている可能性のある追加の種類の可能な攻撃はありますか?
解決
パラメータは、文字列/ int / boool /アレイなどのアダプタによって受信されます.Adapter Frameworkは、パラメータを評価して実行することは決してないので、コードのどこかにEVAL(PARAM)を使用しない限り
他の保護片WLアダプタフレームワークは、アダプタの応答をコメントに包み込みます。例えば。アダプタが{val:1}を返す場合は、実際の応答本体に
が含まれます。/* secure {val:1} */
.
これは、クライアントによって自動的に評価されてもJSを実行することを防止する。<script src="...">