ajax - CRUD中的R-功能和披露漏洞之间的界线在哪里？

Question

我们都知道使用地址路由和带有URL中参数的HTTP-Get进行Ajax调用是多么时髦，因为客户端可以缓存这些调用，从而减少了服务器负载，但是你们认为该行介于“解决资源的巧妙方法”和“披露漏洞”？我会举一些例子

假设我在银行的网站上。在后台，我的浏览器是HTTP-进入/ onlinebanking / AForster / transactions。当然，我对知道我的银行帐户登录ID的人非常疑惑，因此我始终确保未选中“记住我”。但是，我的浏览器访问带有登录ID的URL的事实是否构成披露漏洞？

如果我在论坛上，并且正在阅读普通用户不应该知道的受限线程，该怎么办？我的浏览器通过执行HTTP-Get到/ forum / Secret-Board / Im-Going-To-Kill-My-Brother / posts来检索线程的内容。我什至使用Ajax访问该URL的事实是否以某种方式向我的兄弟揭示了该线程的存在？

等等，您可能会想到更多方案。我真的想在客户端缓存Ajax调用的好处，但是在这些情况下，将这些URL的Ajaxing视为公开漏洞吗？

Answer 1

所以您的问题提出了我希望我了解更多的几点，但是我会尽力至少将事情规划出来...

您的浏览器正在缓存路径中具有私有/安全信息的URL，从而给其他人留下了访问私有信息的潜在窗口。含义:

当您不在时，有人可以走到您的计算机上，或者可以远程访问您的计算机，或者-如果未在几个级别上采取适当的预防措施，请使用XSS方法通过javascript获取缓存的URL。

顾虑是合法的，但是您已经说明了可以采取的一些步骤:

没有打开多个窗口，有的不是私有的，有的不是私有的。使用私人浏览器会话进行私人浏览。我实际上对Firefox插件有了一个想法，该插件可以让您创建各种“黑名单”，即应该始终处于隐身模式的域的名单。这样，您就可以进入银行的网站，跳转到Twitter，并且知道它有不同的吸引力，等等。

设置浏览器在每次关闭时删除(或至少要求删除)所有个人数据。

在服务器端，任何负责任的Web应用程序设计人员都不应永远使用URL中的凭据或个人数据来建立安全站点。那不是浮躁，这是懒惰。我认为ID号或会话ID并没有好得多(我将在第二点讲到这一点)。您的银行应使用:/onlinebanking/UserServices/transactions作为RESTful url，并应在服务器级别确认每个请求的所有内容，包括IP，直到IP(mod_auth和该死的良好证书)。听到人们谈论“减少服务器负载”甚至“减少数据库命中率”，我感到非常疲惫。该软件明确设计用于接收很多请求。我的HP笔记本电脑是6年前制造的，听起来好像不是为了减轻服务器的工作负荷而设计的，但是等待10分钟才能得到设计不当的js脚本(请参阅:新的Yahoo! Mail客户端)，这让我想刺伤自己。而且，如果没有其他可预料的，可怜的滥用巨型服务器，那么它应该每次都能确保您的安全。

好的，那个咆哮结束了。

您的兄弟可以看到您缓存的URL吗？也许。即使清除历史记录，我的女友也可以告诉我何时访问了xxx个站点(为什么？因为它仍显示在最近关闭的选项卡中!是的，是隐私!)而且这些缓存不是为RESTfulness而缓存的，它们是在缓存的因为这是浏览器的作用。因此，当您访问网址中带有iamgoingtokillhimtonight/posts的网站后，应该采取相同的预防措施，以掩盖自己...当您访问代课网站或一直在寻找生日礼物的想法时。

我的解释的一部分:

因此，是的，URL被缓存了，对于任何想细读所述缓存进入您的企业的人来说，这都是令人毛骨悚然的。但是似乎您要表达的另一个问题是他们可以使用它做什么，即跨浏览器漏洞。有人可以使用该缓存的URL编写脚本来获取您的实际银行信息并清除您吗？是。但是，如果他们已经知道如何做到这一点，他们获得的好处就是微不足道的。这更像是将它们保存了一步，然后将钥匙挂在门上。如果我能以某种方式通过js看到您的缓存，从而看到您安全的银行URL，那么，如果他们没有使用可爱的URL，那么我也可以很容易地看到您的银行的URL，也可以很容易地围绕它写我的XSS。而且，如果我可以看到您的缓存，则可以肯定地看到了您的cookie并窃取了它们(仅在网络上，cookie的价值要超过缓存)。因此，AJAX之前的规则相同:

用户不应写下密码

会话cookie应该在会话结束时过期

Web应用程序需要使用白名单，证书和随机数，以确保用户请求的完整性和真实性。

由于开发人员(包括我自己)的懒惰(或无知)以及用户的困惑和天真，我无法强调多少XSS成功。大多数真正的XSS最高分数都涉及互联网黑客之前的社交黑客。网上诱骗或老 friend 或西班牙囚犯的来信，只是要求您关注此无害链接或分享一些毫无意义的个人信息。我可以从您的银行示例中看到的一件事使情况变得更糟，那就是现在我从该站点知道您的名字是Alex，从URL上知道您的姓氏是Forester。这可能会使挖掘细节变得容易，从而使您脱离其他信息。

最后，它的长短:

RESTfulness和AJAX所带来的威胁远没有浏览器历史记录和不良的服务器安全性所构成，因此，相同的规则适用于用户和开发人员。但是，您完全正确的是，此类RESTful URL指出，我们对这些做法的看法不尽如人意，反而有所改善。使用技术变得懒惰，而不是利用优势专注于真正的辛勤工作。

好吧，那很有趣。回到盐矿。