Ajax网站安全谁来保证

2016-02-19 20:37 4 1 收藏

下面请跟着图老师小编一起来了解下Ajax网站安全谁来保证,精心挑选的内容希望大家喜欢,不要忘记点个赞哦!

【 tulaoshi.com - Web开发 】

  问:我们为我们的服务开发了基于Java和Ajax的Web产品。有没有任何自由的工具软件能够扫描Ajax安全漏洞的代码?

  答:保证Ajax应用程序的安全是任何开发或者管理Web服务的人员的一个新的挑战。大多数Ajax应用程序的核心是JavaScript的XMLHttpRequest对象,能够让Web页独立地连接到用户的Web服务器和提取跨域的内容。当在一个面向服务的架构中与其它松散地结合在一起的软件服务结合在一起的时候,这个功能就会出现严重的安全问题。虽然Ajax不会创造新的安全漏洞,但是,它可以暴露许多现有的安全漏洞,特别是在Ajax应用程序特别复杂的时候。这使测试用户和服务互动可能出现的许多序列改变非常困难。

  你要扫描你的代码是非常正确的。但是,到目前位置还没有一种全面自动的Ajax应用程序安全评估工具。开放Web应用安全计划(OWASP)最新提供了一个免费下载的Sprajax软件。这是一种专门为扫描Ajax Web应用程序中的潜在的安全漏洞而开发的开源软件安全扫描器。我毫不怀疑这个软件将成为一个伟大的工具。但是,我现在还不能把它称作一个伟大的工具。你可以在这个网站上下载Sprajax。在OWASP网站,你还会发现有关开发安全的Ajax应用程序的忠告,你还可以通过注册从Acunetix公司那里接收一个补充的安全扫描。

(本文来源于图老师网站,更多请访问http://www.tulaoshi.com/webkaifa/)

  另一方面,如果你的预算允许购买一个Ajax安全漏洞评估工具,你可以考虑购买Cenzic公司更新的Hailstorm产品。这种新更新的工具现在可以扫描拥有Ajax功能的应用程序。虽然不能涵盖每一个基于XML和SOA的安全漏洞,但是,Hailstorm能够使用内部浏览器根据应用程序的实际反应检测错误。这比依赖基于特征的扫描要好得多。这种产品还可以对劫持会话等安全漏洞实施基于会话的评估,这种策略是基于特征的扫描所办不到的。SPI Dynamics公司的WebInspect是另一种值得评估的扫描器。这个产品中的许多检测功能之一是检查动态链接对服务器上的脚本进行的身份识别和授权。

  最后,在你开发Ajax应用程序的时候,尽可能设法保持这些程序的兼容性。减少和简化任何Ajax调用将使你更容易评估一个网页或者应用程序发出的请求的类型。此外,一定要存档和解释这个应用程序是如何与服务器沟通的以及如何处理回应的。这将使你能够更容易地评估代码中是否存在安全漏洞。永远不信任来自客户机的密钥编码的规则仍然适用。任何安全控制都应该在服务器上实施,永远不要在用户的控制之下。

(本文来源于图老师网站,更多请访问http://www.tulaoshi.com/webkaifa/)

来源:http://www.tulaoshi.com/n/20160219/1624136.html

延伸阅读
标签: 孕期
女性在孕期要怎样补钙才科学 孕妇补钙,母子双受益,胎儿在发育期间所需要的钙质全部来自于母体。在怀孕期间,对于妈咪和孩子来说钙都是生活必需品,一旦出现供不应求的现象,对胎儿的发育和妈咪的健康有严重的伤害。因此,孕期需要补充钙质,今天您补钙了吗? 孕妇缺钙麻烦多,通常表现为牙齿松动、四肢无力、腰酸...
标签: Web开发
web2.0大量的ajax的使用,提高了ui交互的效率,但是过度的滥用会带来不少的问题。 ajax使用注意事项: 1 尽量避免使用同步ajax调用。在一些登录的场合常常使用同步调用服务器的登录接口。 同步调用,需要将页面上的所有元素给锁定住,代价高昂。 2 ajax调用时多使用超时设置,目前许多ajax框架如jquery都会提供超时参...
标签: 浏览器
QQ浏览器开启安全认证以保证电脑的安全   1、首先我们打开QQ浏览器 2、点击三个条条的菜单,然后点击设置==QQ浏览器设置 3、进入安全与隐私==开启安全网址认证==点击确定
标签: 分娩
怀孕 9个月,孕妈妈最希望的事情就是希望自己能够安全 顺产 ,那么,下面的11个要点就是保证安全顺产的重要条件哦。 1、选择好的 分娩 环境 我们希望准父母们选择分娩的医院不只是硬件设施齐全,还拥有一个良好的分娩环境,让产妇感觉分娩是一种最自然的过程。产房要营造出家的氛围,处处让产妇感到“这里就像家一样”,可以...
标签: 服务器
3步解决IIS网站安全防止网站被黑 网站被黑一般指网站被注入木马或黑链,注入方法多种多样,有SQL注入、有网站权限注入等等。下文笔者以IIS为例进行讲解该如何预防网站被黑的一些措施。 1、打开IIS信息服务管理器,在网站选项下选择需要设置的网站目录--属性,将网站目录data及upload设置为不可写入,执行权限设置为无(见图2)。 2...

经验教程

224

收藏

55
微博分享 QQ分享 QQ空间 手机页面 收藏网站 回到头部