Web 2.0技术趋势与新兴资安议题漫谈
论Web 2
论Web 2.0 ——将互联网带入人类社会发展的新时代。
Web 2.0,是在2004年首次被提出的概念,代表了互联网的新一代发展模式。
相比于Web 1.0时代的静态页面和单向信息传输,Web 2.0时代有着更强大的交互性和用户参与性。
它让互联网真正成为了一个人与人、人与机器、机器与机器之间互动的平台,使得信息和知识的获取、分享和交流变得更加便捷和高效。
在Web 2.0的时代,互联网已经彻底改变了人们的生活方式、消费习惯和社交行为。
Web 2.0的出现,让互联网得以进一步地拓展和利用,使得其在人类社会发展中的地位也随之得以提升。
以传统的在线购物为例,Web 1.0时代的在线商店只是单向的展示商品,用户只能查看商品信息和价格,而顶多能在网上下订单。
而在Web 2.0时代,互联网商店变得更加智能和互动化,用户可以通过产品评价和社交媒体的分享来帮助其他人做出更好的消费决策。
这样不仅有助于提高消费者的购物体验,同时也能够增强消费者的信任感,促进商家和消费者之间的互动。
Web 2.0的另一个显著特征,是社交网络的兴起和壮大。
社交网络不再只是一个简单的交友平台,它还成为人们获取信息、分享经验、互相帮助和交流观点的重要场所。
特别是在疫情期间,社交媒体的应用更是被推到了前所未有的高度,无论是人与人之间的情感交流还是企业与消费者之间的销售和服务都已经数字化了。
另外,社交媒体工具也在为广告主提供个性化投放、品牌营销、危机公关等增值服务。
在Web 2.0的时代,移动互联网的普及和技术的快速发展,为企业提供了更多针对用户的个性化服务。
比如,机场的手机短信提醒、机票网站的个性化推送、互联网银行的一键开户、金融App的全自动投资、物流企业的智能派单等等。
这些个性化服务不仅能够提高企业的服务质量和竞争力,同时也有助于提高客户的忠诚度和满意度。
除了对企业服务的影响,Web 2.0也给传统教育模式带来了新的变化。
网络教育已经成为了广受欢迎的学习模式,翻转课堂、直播教学、在线测试等教育形式,也在逐步改变着学习者的学习体验和学习习惯。
浅谈Web2.0技术的发展和应用
把许多分散独立的开 发者 所具备 的特征 组合 起来形 成整合 的网 络站 下( 通俗可 以理解为支持下), 站今通过统 计 dg数将点 击高的摆在 网 i 掘客与一 点。W b . 技术的出现 , e2 0 使一些扮演社会小角色的企业 能够 通过类似 首页的排行上 。掘客的核心思 想是 发动大众进 行新闻 挖掘 ,
新兴技术被认为过分炒作 了。同年 , 继而来 的世界 范围内经济不 景 人或群体 以时间顺序所 作的一种 记录 , 相 并且 不断更 新。bo lg之间的交 l o 气同样 使股市 大衰 退。然 而社 会就 是在 这个 济 危机——技术 革 流主要是通过 回溯引用和留言评论的方式来进行的。如果把 b g看作 经 新——经济恢复——经济高速增长——经济过热 引发危 机” 这个 循环 份档案 的话 , 不难发现 b g l 的写作者既是这份档案 的创作人 , o 也是其 lg最主要 的特点。目前已经有 了很多 bo 托 管服 lg 中不断曲折前进着。2 0 年网络发 展的低谷 同样也预示着新 技术革命 档案管理人 。这是 bo 01 的到来 , , b . 的概念被首次 提出了。 由此 We2 0 务商( S ) 博客已经逐渐形成一种营销产业 , BP , 例如利 用 bo 来 推广 网 lg
于辛加迪报业一样从内容上、 服务上联合起来 , 同时又 能通过 减轻 早期 接受 We2 0技术的企业整合资源的压力 , b. 达到 鼓励这些企业 的目的。 不难看 出 , b . We2 0的价值和意义是 它为用户 带来 了真正的个性 化、 去
中 心化 和 信 息 自 主 权 。
般新闻网站所不 同的是 , 新闻网站 的新闻是由编辑推荐的 , 编辑的喜好 决定了网站的内容 , 而掘客把这个新闻筛选的权利交给 了网 民, 由网民
Web2.0“潮涌”新安全
0“ "新安全 潮涌
信息安全形势将会更加严峻 , 现有 的网络将变得 对声势迅猛的互联网浪潮 , 一系列严峻的 . 这 巨
曾提 到 : . I 临非常 } 临 着 面
t 专家 略
软 已经
受 双 重 考 验 , 其 一 那 么 多 互 联 网 用 户面 临 的 安 全 考 验 给 它 们 带 来 的 商 机 能 不 能 把 握 的 考 验 ,其 二 是 要 面 临 来 自微 软 的 考验 ,这 一 点 虽 然 和 I 的 “ 抱 ”可 BM 拥 以 在 声 势 上 取 得 平 衡 ,但 是 当 局 者 心 理
我 还 是可 以从 窗 口钻 进 去 。 以达 种 新技 术 开 发 的
We 2 0安全危机 b.
W e . 不 断 将 网站 的能 力向 外 推 展 . 掀 b20 也
网站 攻 击面 积 又 更大 . 为它 和 浏 览 器有 更 多 因 互 动 , 且可 以 在 用 户端 P 上执 行 J v S rp 。 而 C a a cit Jv Sr t 常 见 的描 述 性 语 言 。 统 网站 一 般 需 a a c/ 是 p 传
者的所有通讯录中 a 与S ae ah两只蠕虫 S my p of s l 都已在 My p o 上扩散 ,将这个知名社 交网站的 Sae 使用者信. p g(m ̄e/ 以变更 。 )p /
上述错误都可能导致信息外淮、A使用者控
制 B使 用 者 的通 讯 .恶 意源 代码 被执 行 或 引发 其 他 攻 击 等 等 . o t 说 。 公 司 研 究人 员发 现 在 F r衄 ( 该 去 年 一 本 针 对软 件 开 发 人 员所 着 的 ( o n a (n ( u dt F o
篡 改 网站 总 数 16 3 (0 4 为 2 5个 ) 3 5 个 20 年 09 。 境 内外 网络 钓 鱼事 件 报告 4 6 ,是 2 0 5起 04 年数 量 的两 倍 多 。 We 2 0 潮 方兴 未 艾 , 来越 多的 创 b .大 越 业 者 投身 这一 领 域 ,但随 即发现 We . b20
Web2.0:机遇还是革命?
Web2.0:机遇还是革命?随着网络技术的日新月异,带有Web2.0特征的服务已经越来越多的进入网民的视野:RSS、SNS、Tag、Blog、P2P……这些一度只在专业人士的小圈子里热议的概念已经成为众多网络用户乐此不疲的现实应用。
从互联网行业和商业应用的视角,Web2.0的商业前景被普遍看好,国内外的互联网企业也正在积极研究Web2.0与商业的最佳结合点。
比如,韩国著名的社区网站——赛我网()就已经开辟了一条较为成功的商业模式,并已开始在中国互联网实践。
在国内,博客网站、SNS交友、商务社交等各种模式也在积极探索着。
那么,对于已经走过了十个年头的中国互联网来说,生机蓬勃的Web2.0又将对传统互联网产生什么样的冲击呢?Web2.0:个人媒体时代2001年“9·11”事件、2005年“7·21伦敦地铁爆炸案”等重大事件中,起源于西方的个人博客均超越了众多传统公众媒体,第一时间将事件迅速传递到世界各地。
著名互联网评论家方兴东因此写道:“博客世界的颠覆性力量正在崛起!”而在更强调身边的生活和情感沟通的东方社会,赛我网迷你小窝也以生活化的沟通使得普通个体成为交流的主角和关注的中心。
年初韩国军营自杀事件主角的迷你小窝一周之内获得了30万的访问量。
在风靡韩国的“Cy现象”中,一个普通韩国年轻人每天的社交生活被描述成为上网登陆自己的赛我迷你小窝,上传自己的心情日志和生活照片,在个人论坛和留言板回复信息,去朋友的迷你小窝留言,到朋友的知己网络里面认识新的朋友。
这是Web2.0时代个人之间信息传递的典型模式。
无论是西方式博客在海量信息和众多信息渠道中凸现自身作为信息发布主体的作用,还是东方式博客赛我迷你小窝在公众媒体之外开辟纯生活化、情感化个人交往空间和形成个人影响的做法,都蕴含着一个与传统互联网基于新闻门户网络平台迥然不同的概念——个人媒体(Personal media)。
个人媒体这一以个体为中心的个人平台实现了相对独立和完整的个人信息中心:个体制造信息、个体发布、个体承受影响并扩散到尽可能多的其他个体。
浅析Web2. 0-未来的互联网
浅析Web2. 0-未来的互联网摘要:Web2.0是新一代互联网应用的统称。
Web2.0可以说是信息技术高速发展所引发网络革命带来的面向未来、以人为本的模式。
Web2.0着重在用户群的解构与重构。
Web2.0模式代表未来。
关键词:Web2.0 以人为本第三次革命未来的互联网随着博客等多种互联网传播新模式迅速崛起,“个体”成为信息制造的中心,网络个人化、社会化、自组织等新的传播特点日益显现,一场以“交互”为核心的互联网创新浪潮扑面而来。
Web2.0是新一代互联网应用的统称,是指已经到来的服务,是一个新兴的网络词汇。
Web2.0相对于早期的Web1.0服务,区别在于Web2.0更侧重于互动,侧重于众多“普通人“对于网络内容的贡献。
Web2.0可以说是信息技术高速发展所引发网络革命带来的面向未来、以人为本的模式在互联网领域的典型体现,是由专业人员织网到所有用户参与织网的创新民主化进程的生动注释。
web2.0=技术+公开真实的个人表达+共同建设,技术是基础;公开真实的个人表达反映了web2.0的社会意义;共同建设反映了它的文化意义。
简而言之,Web2.0一个全新的传播方式。
Web2.0技术主要包括:博客(BLOG)、RSS、百科全书(Wiki)、网摘、社会网络(SNS)、P2P、即时信息(IM)等。
Web2.0现有的产品已经比较丰富,例如:FACEBOOK,百度百科,新浪点点通,土豆网等等。
作为Web2.0必须具备的要素有以下几点。
(1)网站的数据共享程度很高,允许用户随意上传和下载数据。
(2)所有用户在网站系统内拥有完全属于自己的数据。
(3)完全基于Web,所有的功能都能通过浏览器轻松完成。
Web2.0特点如下。
(1)多人参与Web2.0。
在Web2.0里,每个人都是内容的供稿者。
而Web1.0,互联网内容是由少数编辑人员(或管理员)定制的,比如搜狐各门户网站。
(2)Web2.0中的每一位参与者是灵魂。
Web2.0向Web3.0过渡下的网络信息资源组织发展
Web2.0向Web3.0过渡下的网络信息资源组织发展随着技术的不断进步和创新,互联网已经从Web2.0时代开始向Web3.0时代过渡。
在这个时代的变革中,网络信息资源组织发展也面临着新的挑战和机遇。
本文将重点讨论Web2.0向Web3.0过渡下的网络信息资源组织发展现状和未来走向。
一、Web2.0向Web3.0的过渡Web2.0时代是指互联网的第二次发展阶段,它充分利用了互联网的互动性和用户生成内容的特点,将用户从被动的信息接收者转变为信息生产者和分享者。
这一阶段的特点主要是社交化、协作化和用户个性化。
而Web3.0则是指互联网的下一次发展阶段,它将通过人工智能、物联网、区块链等新技术实现更加智能化、个性化和去中心化的互联网。
Web3.0时代将实现全球信息的价值互联,并为用户提供更加个性化的信息服务。
在Web2.0向Web3.0的过渡中,网络信息资源组织发展也面临着新的挑战。
一方面,互联网的内容数量和种类不断增加,信息碎片化和信息过载的问题愈发严重;用户对于信息的个性化需求不断增加,传统的信息检索和组织模式已经无法满足用户的需求。
在这样的背景下,网络信息资源组织发展需要寻找新的方向和模式,以适应Web3.0时代的发展趋势。
二、网络信息资源组织的发展现状当前,网络信息资源组织主要包括信息检索和分类、知识图谱构建、大数据分析和信息可视化等方面。
在Web2.0时代,这些工作主要由搜索引擎和社交媒体平台来完成,它们通过算法和用户行为分析来实现信息的检索和组织。
这种模式已经不能满足Web3.0时代的需求,因为Web3.0时代需要更加智能化和个性化的信息服务,而传统的搜索引擎和社交媒体平台已经无法满足这一需求。
随着人工智能、物联网和区块链等新技术的发展,网络信息资源组织也面临着新的发展机遇。
人工智能可以通过分析用户行为和偏好来实现个性化推荐;物联网可以通过连接各种设备和传感器来实现信息的实时采集和共享;区块链可以通过去中心化和安全的特点来保障信息的可信度和安全性。
浅析Web2.0网站的发展策略
浅析Web2.0网站的发展策略Web2.0作为一种新的互联网应用模式,近年来得到了快速的应用和发展,但在发展过程中还存在很多问题,最主要是缺乏成熟的商务和盈利模式,必须采取正确的发展策略,才能促进Web2.0的进一步应用和发展标签:Web2.0 发展策略一、Web2.0概述简单来说,Web2.0的意思就是新一代互联网提供的在线服务。
与Web1.0单纯通过网络浏览器浏览HTML网页模式相比,内容更丰富、关联性更强、工具性更强的Web2.0互联网模式的发展,已经成为互联网发展的必然趋势。
Web2.0这个概念提出只有两三年时间,与Web1.0比较,Web2.0更多的是依赖网民的创造。
网民既是使用者,也是创造者,它为用户带来真正的个性化和信息自主權,更多地体现互动和参与。
据统计报告显示,用户使用最多的服务是博客,其次是手机上网和RSS阅读,然后是标签和网摘,再有就是引用、播客和Wiki等。
二、Web2.0网站发展现状1.Web2.0企业开始布局现在互联网领域内谈的最多的是web2.0,同时也出现了大量的web2.0网站。
中国国内第一份Web2.0报告《中国Web2.0现状与趋势调查报告》显示,我国web2.0市场正呈现一片繁荣,在广大用户的热情追捧下,各类形式的应用正在迅速铺开。
Web2.0经过2005年的繁华,目前终于在部分网民心中落地生根。
对于博客中国网、China BBS、xPlus这些处于Web2.0第一集团的新锐互联网企业来说,他们在2005年确立了定位、提高知名度、增加访问量和用户基础。
2006年里,开发产品并获取现金利润则是其最重要的目标;China BBS在2006年得到新一轮千万美元级别的风险投资后,也已经在战略和产品方面进行深入规划。
事实上,许多Web2.0新锐企业已经具有了更清晰的盈利模式和业务规划,众多迹象表明,很多新锐企业已经开始布局了。
2.Web2.0商业模式尚在摸索Web2.0的发展仍然存在一些问题,同质化竞争、对广告的过度依赖、Web2.0企业的运营能力较弱、定向网络广告传递效率低、对Web2.0技术的忽略,以及相关法律规范的空白,都成为Web2.0发展将遭遇的问题。
浅析web2.0的应用与发展趋势
开 网站 的情况 下 ,就 可以 获取 、阅读和 管理 XML格式 的信息 ,并且还能只关注
自己感兴 趣的部 分 。它有 如下特 点 :小
传播 理念 的改变 ,互 联 网时代 已步入 了 新的发展期 we 2. 。它带给我们的不 b 0 仅 是新技 术手段 的成功 ,更是 信息 传播 理念的革命。we 2 0 b . ,是相对 we . b1 0 ( 0 3年 以前的互联 网模式 )新一 类互 2 0
目前最成功 的 XML应用。R S阅读器是 S 款 全新 的非 常实用 方便的 阅读 器, 可
以 阅读 支持 RS 输 出的 网 站 内容 。在 不打 S
I CQ,成为人们之 间更重要的沟通和交流
Wb2. pl t ̄ Te i dv!mn 一 e 0 p &oi r i sepe A i [  ̄ i t c 6
we ke ” e e ,意思 是 “ 点快点 ” 快 。中 文 译 为 “ 客 ” W i i 发 明 人 威 。 k
W a d n i g a ,有 一 次 在机 场 巴士 r Cu nn h m 上 ,看 到 了 上面 写着 “ l l u ” Wi iWi B s , ( d
台。将 自己制 作的 “ 广播 节 目”上传到 网上 ,与 广大 网友分享 ,或用此方 法来
从工 具上 ,由互 联 网浏 览器 向各 类浏 览
器 、RSS阅读 器等内容发展 ;为用户带
来 了真正 的个性 化 、视觉 化 、互动性 和
信息 自主权 。在 实际 应 用中除 了原先 的 P P、I 等得 到新的发展 ,更是 涌现 出 2 M 了很 多社 会 化的 新事 物 ,比 如 Bl , Og
w i ,RS ki S,S NS网络等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Web 2.0技术趋势与新兴资安议题漫谈当影片、相簿、音乐、软件即服务(SaaS:Software as a Service)将Web 1.0消逝的人潮重新带回因特网时,Web 2.0技术可协助SaaS服务业者将因特网作为运算平台,例如物流运筹、电话营销、Web网络服务等智能型生活应用,由服务业者提供软、硬设备与网络平台的维运,企业用户不须投入庞大的建置费用与系统维护成本,只需透过浏览器即可租用信息软件服务。
以下概述Web 2.0相关技术与资安议题:Web 2.0概述Web 2.0技术可实现在传递信息的服务导向架构(SOA)上,主要环境包含开放式程序撰写平台、用户接口与商业逻辑分离之应用平台,及跨平台/浏览器之产业标准接口(如SOAP、WSDL、WS-Security等接口),而Web 服务业者透过Requestor、Registry、Provider等3种使用模式,将应用软件设计成许多低耦合的互动服务模块,提供持续参与贡献的使用者,可以像堆乐高LEGO 积木一样,随需要以标准建材方式组合成单一逻辑系统,形成丰富内容的交互式应用网站,例如Facebook联谊模式等动态网站。
如图1 Web 2.0应用层架构,浏览器成为Client端,而Web服务业者后端应用数据中心成为Server端,存放着众多私人或企业数据,各种Web应用则以API形式供网络上存取使用,这些API属于使用者自我描述、无状态、可执行个别工作单元的模块,透过RPC之远程过程调用,或REST之表达状态传递等协议,提供各种Web 2.0服务。
Web 2.0技术趋势与资安挑战如图2之整合式Web 2.0技术领域所示,Web 2.0开放网络环境可混合客户端及伺服端程序代码,以融入消费者及企业员工生活提供生动有趣应用,但却隐藏着比传统Web 1.0更严重的安全问题,使得安全漏洞更容易被挖掘,并引进全新的攻击模式,以下将针对Web 2.0技术趋势探讨相关的资安议题。
(1) 由客户端产生之内容vs前后端之信任问题现代化Web 2.0应用,如部落格或相片分享服务等,由后端数据交换协议负责大量数据处理工作,可以使网页呈现有如桌面的感觉。
如RoR(Ruby on Rails)的伺服端脚本语言,用法简单并容易与客户端JavaScript整合,可处理用户请求并回传数据给浏览器,或传给经由JavaScript启动的后端通道呼叫器,但客户端常忽略因特网联机的安全性,而伺服端也存在验证用户输入数据的安全漏洞,加上目前业界仍缺乏完整的浏览器安全政策的协议,即使现存的相同来源政策(same origin policy)也只能实现部分安全需求。
(2) 混搭之Web服务vs. 默认之外来程序如个人化首页,Web 2.0系统提供接口允许其他Web 2.0系统可互通并分享开放的资源,产生所谓混搭(mashups),开发者可利用具有XML共通性API的Web 服务,自由混合网络上不同信息,而创造出有如单一应用的聚合服务内容。
为易于创造混搭,Web 2.0工具开发商积极地发展各种技术,以绕过既有浏览器安全限制,造成应用服务下载不明功能及安全性的外来HTML及JavaScript。
由于资源来自许多RSS(Real Simple Syndications)、Atom 及Plug-in机制,背后所涉及的庞大流程管理已远超过用户所能看见的范围,默认源自外来网站的Script,将危及使用者的全程联机并泄露机敏信息。
(3) 客户端JavaScript vs.安全缺陷架构如Google GWT的JavaScript链接库架构,可自动化建构更多动态效果及通讯能力,以提供诸如行事历、动态下拉式选单等用户接口,它们也会自动化设定JSON 或XML联机之程序,但有下载程序代码重新定义语言功能的安全漏洞。
又如AJAX架构包含大量应用执行所需信息,可随时以.js档方式被使用者下载至浏览器,此客户端信息将方便黑客找出可攻击之漏洞,而有时AJAX亦可藉由代理器,提供可注入信息的内容撷取或字段列举方法,然后再将内容或域值传送至伺服端,因此更容易被发现可被攻击之漏洞。
Web 2.0安全漏洞(1) 未充分认证控制传统上,信息系统均假设仅有少数特权账号隶属于资深或有经验的用户,并在工作流程中会确认其他用户须被授权才能作系统变更动作。
此假设在经常相信许多使用者的Web 2.0应用环境中失效,而导致许多可被攻击之弱点:例如脆弱性密码、未充分之反暴力浏览(Anti-Brute Force)控制、明文密码、一次性密码等弱点。
(2) 跨站脚本攻击(XSS)在Web 1.0极为流行之XSS攻击,在许多使用者所创建的Web 2.0架构下更利于实现,例如社交网站、部落格等。
使得黑客在客户端可植入不正常之Script,透过恶意连结即可诱骗没有疑心的使用者从浏览器访问某特定网页。
而Web 2.0使用者间整合式互动应用特色,使得XSS应用缺陷从一个使用者传播至另一个使用者之可能性更高,之Samy蠕虫即为一明显案例。
(3) Cross-Site Request Forgery(CSRF)此弱点发生于受害者访问外表无害的恶意网站时,恶意网站对另一个经由受害者授权网站发出请求,而代表受害者执行某些作业。
由于Web 2.0使用AJAX,跨领域功能使CSRF攻击威力大增,即使XHR特地避开跨领域互动,在某些弹性机制(如Flash)下,仍有方法支持跨领域功能,因而用户之单纯页面点击行为,即可允许黑客或钓鱼者执行跨领域攻击,例如点击一个部落格的故事,事实上可能减少你的银行账户1万元美金。
虽然相同来源政策(same origin policy)可限制未验证之CSRF恶意代码发行请求,然而某些Web 2.0环境(例如个人化首页)并未强制实施相同来源政策。
(4) AJAX安全威胁如图3所示,AJAX(Asynchronous JavaScript XML)提供丰富之画面设计方式,并使用各种数据串流,如JSON、Array、JS-Object等,执行时无需整个HTTP页面更新,仅由背景端异步处理即可快速响应用户之数据请求。
AJAX之JavaScript能与后端资源互通,并可利用混搭(mashups)应用之效果。
如不了解所使用之数据串流,将会产生严重的资安影响如下:A.AJAX例程之客户端验证Web 2.0应用常使用AJAX为客户端执行验证,但因缺乏伺服端验证,使得黑客可利用SQL、LDAP等注入方式绕过AJAX验证,并对应用程序直接执行POST或GET 请求,而入侵一个Web应用的主要资源。
B.RSS/Atom注入攻击RSS供应(feed)系一种在入口网站及Web应用程序间分享信息的共通方法,这些供应允许使用者无需访问网站,而可取得内容表头及主体文字等网站内容摘要,由于应用未考虑使用来自第三者内容的安全漏洞,使得有心者可注入JavaScript文字至RSS供应中,以产生在客户端浏览器之攻击,因此当RSS及ATOM供应成为Web应用之整体组成部分后,在将数据送进客户端前过滤伺服端某些文字是很重要的。
(5) XML服务安全威胁如图4所示,XML服务之安全威胁包括信息被泄漏、欺骗,或服务被破坏、篡夺等威胁,而风险因素来源有二种:分布式系统风险及信息风险;在分布式系统架构下,网络防火墙不易侦测到来自开放网络端口之XML服务攻击威胁,而在服务请求及供应端中间交换的XML文件及信息中,由于流经许多不同的安全区域的中间节点,基于资安政策、地理、技术及组织网域的差异性,亦容易遭到各种攻击风险,兹描述相关Web 2.0服务之威胁如下:A.XML污染现今共通格式数据诸如MP3文件及微软Word文件已可转成XML方式传送,因而导致XML网络流量大增;此外,SOAP信封及WSDL档所夹带之嵌入式宏及档案,亦增加Web服务信息交换的风险。
因此在伺服端及浏览器间传递XML流量之Web 2.0应用程序,其所接收来自AJAX客户端之XML区块最终可能被污染。
黑客有时利用递归的数据区段对伺服端造成拒绝服务的攻击,有时制作变形的XML文件,破坏依赖于伺服端剖析机制的逻辑,而XML纲要污染系另一种可改变执行流向之XML污染攻击,此漏洞可帮助黑客攻击机密信息。
B.WSDL扫描及列举WSDL(Web服务定义语言)系一种Web服务之接口,由于WSDL文件包含所有消费者可用的操作,黑客可用不同的信息请求模式去执行所有的操作,直到发现一个漏洞;此种足迹探测法在不良的程序撰写实作时极为有效。
开启不必要的功能将导致Web服务潜在的灾难,因此保护WSDL档案或对其提供有限的存取能力是很重要的。
C.Web服务之路由Web服务安全协议具有WS路由服务,允许SOAP 信息以特定顺序从各个不同节点行进,通常SOAP信息已经过加密,但任一中间节点若遭到破解,黑客即可窜改SOAP信息。
D.SOAP之参数操控Web服务接收来自SOAP信息之信息与变量,这些变量有可能被操控,如攻击者对SOAP信息中一个节点展开操控,并尝试不同的注入─如SAL,LDAP,XPATH,command shell等,即可掌握内部机器;不正确或不充分的Web服务节点认证将使得Web服务应用暴露在攻击中。
E.SOAP信息之XPATH注入XPATH系一种查询XML文件的语言,Web应用接收大量XML文件,并从客户端取得输入数据形成XPATH 叙述句,这些程序代码区段如果被XPTH注入攻击成功,则黑客可以绕过认证机制,或导致机密信息泄漏,因此在传递数据值给XPATH叙述句前提供适当的输入验证是极其必要的。
(6) RIA客户端之二进制操控威胁RIA(Rich Internet Applications)使用丰富的UI特效,例如以Flash、ActiveX控制组件或小程序作为Web应用的主要接口。
此种架构衍生许多安全议题,主要议题之ㄧ为session管理,因其在浏览器执行并分享相同的session,同时,由于整个二进制组件被下载至客户端,黑客可能用逆向工程去破解二进制元文件并反组译程序代码,此后这些二进制组件可能被修改以绕过程序代码中一些认证逻辑。
Web 2.0威胁管理对策(1) AJAX保护机制AJAX保护机制类似传统Web应用之保护机制,包括:与数据库互动时常态性使用参数化查询、伺服端产出之所有响应须以HTML编码后再输出、使用“innerText”属性代替“innerHtml”、避免在Ajax呼叫中置放机密信息,以及选择适合之数据结构与平台等机制。
(2) 输入验证避免只有客户端之验证,需验证所有经由客户端及伺服端之输入处理,例如验证HTTP表头、cookie、URL参数、POST数据及传送至伺服端之查询字符串,严格之验证检查需包含用户输入数据型态、长度及格式。