WL 6.0.0.0. Server Security - это сервер безопасен от скрипты с перекрестными сайтами / инъекцией кода JavaScript

Question

Этот вопрос появился в нашем проекте:

Сейчас безопасность

работает под HTTPS с тестом MOBILESSECUTIONS (XSRF и т. Д.), Включая подлинность приложения для Android. Наши адаптеры не требуют пользователя / Pass auth, поэтому нет никаких других царств, аутентификация или модулей входа в систему. Приложение может вызоветь процедуры адаптера сразу после wl.cclient.connect.

Что такое работа в рабочем режиме на стороне сервера, чтобы предотвратить атаки инъекции кода JavaScript Server?

Детали по этому типу атаки: http://media.blackhat .com / bh-us-11 / sullivan / bh_us_11_sullivan_server_side_wp.pdf

Другими словами, (хотя и трудно) Давайте предположим, что кто-то смог использовать наш APK для создания нового APK, который смог обмануть рабочую силу Auth / Security Meangine, мы тогда уязвим к атаку для инъекций кода JavaScript Server?

Это в значительной степени сводится к вопросу, если все параметры для всех вызовов WL Server оцениваются и максимально проанализируются из текста в объекты JavaScript, и если никогда не существует вероятность того, что текст параметра может быть выполнен как код JavaScript на сервере?

Если это так, есть ли какие-либо дополнительные типы возможных атак, что реализация JavaScript WL Server защищена против того, чтобы мы даже не были в курсе?

Answer 1

Параметры

принимаются адаптерами как string / int / bool / array и т. Д. Адаптер Framework никогда не оценит и выполняет ваши параметры, поэтому, если вы не будете явно использовать eval (paral) где-то в вашем коде, вы хорошо.

Другой частью защиты WL Adapter Framework имеет отклик адаптера в комментарии.Например.Если ваш адаптер возвращает {val: 1} Фактическое тело ответа будет содержать

/* secure {val:1} */

.

Это предотвращает выполнение JS, даже если автоматически оценивается клиентом, напримерПри загрузке из генеракодицетагкода