随着Web2.0 的发展以及Ajax框架的普及，富客户端Web应用（Rich Internet Applications，RIA）日益增多，越来越多的逻辑已经开始从服务器端转移至客户端，这些逻辑通常都是使用 JavaScript 语言所编写。但遗憾的是，目前开发人员普遍不太关注 JavaScript 代码的安全性。据 IBM X-Force 2011 年中期趋势报告揭示，世界五百强的网站及常见知名网站中有 40% 存在 JavaScript 安全漏洞。本文将结合代码向读者展示常见 JavaScript 安全漏洞，旨在帮助读者能够在日常编码工作中规避这些安全漏洞。此外，客户端 JavaScript 安全漏洞与服务器端安全漏洞原理略为不同，自动化检测 JavsScript 安全漏洞目前存在较大的技术难题，本文将结合案例跟读者分享如何利用 IBM Rational AppScan Standard Edition V8.0 新特性（JavaScript Security Analyzer，JSA）技术自动化检测 JavaScript 安全漏洞。

    JavaScript 常见安全漏洞

    2010 年 12 月份，IBM 发布了关于 Web 应用中客户端 JavaScript 安全漏洞的白皮书，其中介绍了 IBM 安全研究机构曾做过的 JavaScript 安全状况调查。样本数据包括了 675 家网站，其中有财富 500 强公司的网站和另外 175 家著名网站，包括 IT 公司、Web 应用安全服务公司、社交网站等。为了不影响这些网站的正常运行，研究人员使用了非侵入式爬虫，仅扫描了无需登录即可访问的部分页面，每个站点不超过 200 个页面。这些页面都被保存下来，研究人员采用 IBM 的 JavaScript 安全分析技术离线分析了这些页面，集中分析了基于 DOM 的跨站点脚本编制及重定向两种漏洞。

    测试结果令人惊叹，这些知名网站中有 14% 存在严峻的 JavaScript 安全问题，黑客可以利用这些漏洞进行植入流氓软件，植入钓鱼站点，以及劫持用户会话等。更令人惊叹不已的是，随着 IBM 的 JavaScript 安全分析技术的成熟发展，2011 年中期 X-Force 报告显示，IBM 重新测试了上述这些知名网站并发现了更多的安全漏洞，大约有 40% 的网站存在 JavaScript 安全漏洞。

    下文本文将结合代码向读者展示常见这些 JavaScript 安全漏洞，以便读者在实际编码过程中注意到这些安全问题，及早规避这些风险。

    1、基于DOM 的跨站点脚本编制

    我们都听说过 XSS（Cross Site Script，跨站点脚本编制，也称为跨站脚本攻击），指的是攻击者向合法的 Web 页面中插入恶意脚本代码（通常是 HTML 代码和 JavaScript 代码）然后提交请求给服务器，随即服务器响应页面即被植入了攻击者的恶意脚本代码，攻击者可以利用这些恶意脚本代码进行会话劫持等攻击。跨站点脚本编制通常分为反射型和持久型：当请求数据在服务器响应页面中呈现为未编码和未过滤时，即为反射型跨站点脚本编制；持久型指的是包含恶意代码的请求数据被保存在 Web 应用的服务器上，每次用户访问某个页面的时候，恶意代码都会被自动执行，这种攻击对于 Web2.0 类型的社交网站来说尤为常见，威胁也更大。应对跨站点脚本编制的主要方法有两点：一是不要信任用户的任何输入，尽量采用白名单技术来验证输入参数；二是输出的时候对用户提供的内容进行转义处理。

    但鲜为人知的是还有第三种跨站点脚本编制漏洞。2005 年 Amit Klein 发表了白皮书《基于 DOM 的跨站点脚本编制—第三类跨站点脚本编制形式》（"DOM Based Cross Site Scripting or XSS of the Third Kind"），它揭示了基于 DOM 的跨站点脚本编制不需要依赖于服务器端响应的内容，如果某些 HTML 页面使用了 document.location、document.URL 或者 document.referer 等 DOM 元素的属性，攻击者可以利用这些属性植入恶意脚本实施基于 DOM 的跨站点脚本编制攻击。
 

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。