WL 6.0.0.0. Server Security - это сервер безопасен от скрипты с перекрестными сайтами / инъекцией кода JavaScript
Вопрос
Этот вопрос появился в нашем проекте:
Сейчас безопасностьработает под HTTPS с тестом MOBILESSECUTIONS (XSRF и т. Д.), Включая подлинность приложения для Android. Наши адаптеры не требуют пользователя / Pass auth, поэтому нет никаких других царств, аутентификация или модулей входа в систему. Приложение может вызоветь процедуры адаптера сразу после wl.cclient.connect.
Что такое работа в рабочем режиме на стороне сервера, чтобы предотвратить атаки инъекции кода JavaScript Server?
Детали по этому типу атаки: http://media.blackhat .com / bh-us-11 / sullivan / bh_us_11_sullivan_server_side_wp.pdf
Другими словами, (хотя и трудно) Давайте предположим, что кто-то смог использовать наш APK для создания нового APK, который смог обмануть рабочую силу Auth / Security Meangine, мы тогда уязвим к атаку для инъекций кода JavaScript Server?
Это в значительной степени сводится к вопросу, если все параметры для всех вызовов WL Server оцениваются и максимально проанализируются из текста в объекты JavaScript, и если никогда не существует вероятность того, что текст параметра может быть выполнен как код JavaScript на сервере?
Если это так, есть ли какие-либо дополнительные типы возможных атак, что реализация JavaScript WL Server защищена против того, чтобы мы даже не были в курсе?
Решение
принимаются адаптерами как string / int / bool / array и т. Д. Адаптер Framework никогда не оценит и выполняет ваши параметры, поэтому, если вы не будете явно использовать eval (paral) где-то в вашем коде, вы хорошо.
Другой частью защиты WL Adapter Framework имеет отклик адаптера в комментарии.Например.Если ваш адаптер возвращает {val: 1} Фактическое тело ответа будет содержать
/* secure {val:1} */
.
Это предотвращает выполнение JS, даже если автоматически оценивается клиентом, напримерПри загрузке из генеракодицетагкода