这个问题出现在我们的项目中:
安全性现在在HTTPS下工作,具有MobileSecurity-Test(XSRF等),其中包括Android的应用程序真实性。我们的适配器不需要任何用户/传递身份验证,因此没有配置其他领域、身份验证或登录模块。应用可以在 WL 之后立即调用适配器过程。客户端连接。
Worklight在服务器端做了什么来防止服务器端Javascript代码注入攻击?
有关此类攻击的详细信息:http://media.blackhat.com/bh-us-11/Sullivan/BH_US_11_Sullivan_Server_Side_WP.pdf
换句话说,(虽然很困难)让我们假设有人能够使用我们的APK创建一个能够欺骗Worklight Auth/Security机制的新APK,那么我们是否容易受到服务器端Javascript代码注入攻击?
这几乎可以归结为一个问题,即是否以最安全的方式评估所有 WL 服务器调用的所有参数并将其从文本解析为 Javascript 对象,并且是否永远不可能在服务器上将参数文本作为 Javascript 代码执行?
如果是这样,WL Server Javascript 实现是否有任何其他类型的可能攻击是安全的,我们甚至可能没有意识到?
参数由适配器接收为字符串/整数/布尔值/数组等。 适配器框架永远不会计算和执行你的参数,所以除非你在代码中的某个地方显式使用 eval(param),否则你很好。
WL 适配器框架的另一个保护是在注释中包装适配器响应。 例如,如果您的适配器返回 {val:1},则实际的响应正文将包含
/* secure {val:1} */
这可以防止 JS 被执行,即使客户端自动评估,例如从<script src="...">加载时