WL 6.0.0.1 서버 보안 - 서버는 사이트 간 스크립팅 / JavaScript 코드 주입으로부터 안전합니까?

Question

이 질문은 우리 프로젝트에 올랐습니다.

보안은 이제 Android 용 App Authenticity를 포함하는 MobileSecurity-Test (XSRF 등)가있는 HTTPS에서 작동합니다. 어댑터는 사용자 / 패스 인증을 필요로하지 않으므로 다른 영역, 인증 또는 로그인 모듈이 구성되지 않습니다. 앱은 wl.client.connect 뒤에 바로 어댑터 절차를 호출 할 수 있습니다.

서버 측에서 서버 측에서 워크 쪽을 수행하는 작업은 서버 측 JavaScript 코드 주입 공격을 방지합니까?

이 유형의 공격에 대한 세부 사항 : http : //media.blackhat .com / bh-us-11 / sullivan / bh_us_11_sullivan_server_side_wp.pdf

다른 말로하면, (어려움이 있지만, 누군가가 APK를 사용하여 Worklight 인증 / 보안 메커니즘을 속일 수있는 새로운 APK를 만들 수있는 새로운 APK를 만들 수 있다고 가정 해 봅시다. 그런 다음 서버 측 JavaScript 코드 사출 공격에 취약한가요?

모든 WL 서버 호출에 대한 모든 매개 변수가 텍스트에서 JavaScript 객체로의 모든 매개 변수를 JavaScript 객체로 평가하고 매개 변수 텍스트를 JavaScript 코드로 실행할 수있는 기회가없는 경우 꽤 많은 질문에 꽤 흔들립니다. 서버에서

그렇다면 WL Server JavaScript 구현이 확보되는 추가 공격의 추가 유형이 있습니까?

Answer 1

매개 변수는 어댑터에서 string / int / bool / hery 등으로 수신됩니다. 어댑터 프레임 워크는 PARM을 평가하고 평가할 수 없으므로 명시 적으로 eval (param)을 사용하여 eval (param)을 사용하여 좋은 코드 어딘가에 사용할 수 없습니다.

다른 보호 기능 WL 어댑터 프레임 워크가 주석에 어댑터 응답을 포장하고 있습니다.예를 들어,어댑터가 {val : 1}을 반환하는 경우 실제 응답 본문에는

가 포함됩니다.

/* secure {val:1} */

.

클라이언트가 자동으로 평가하더라도 JS가 실행되는 것을 방지합니다.<script src="...">

에서로드 할 때