你要扫描你的代码是非常正确的。但是,到目前位置还没有一种全面自动的Ajax应用程序安全评估工具。开放Web应用安全计划(OWASP)最新提供了一个免费下载的Sprajax软件。这是一种专门为扫描Ajax Web应用程序中的潜在的安全漏洞而开发的开源软件安全扫描器。我毫不怀疑这个软件将成为一个伟大的工具。但是,我现在还不能把它称作一个伟大的工具。你可以在这个网站上下载Sprajax。在OWASP网站,你还会发现有关开发安全的Ajax应用程序的忠告,你还可以通过注册从Acunetix公司那里接收一个补充的安全扫描。
另一方面,如果你的预算允许购买一个Ajax安全漏洞评估工具,你可以考虑购买Cenzic公司更新的Hailstorm产品。这种新更新的工具现在可以扫描拥有Ajax功能的应用程序。虽然不能涵盖每一个基于XML和SOA的安全漏洞,但是,Hailstorm能够使用内部浏览器根据应用程序的实际反应检测错误。这比依赖基于特征的扫描要好得多。这种产品还可以对劫持会话等安全漏洞实施基于会话的评估,这种策略是基于特征的扫描所办不到的。SPI Dynamics公司的WebInspect是另一种值得评估的扫描器。这个产品中的许多检测功能之一是检查动态链接对服务器上的脚本进行的身份识别和授权。
最后,在你开发Ajax应用程序的时候,尽可能设法保持这些程序的兼容性。减少和简化任何Ajax调用将使你更容易评估一个网页或者应用程序发出的请求的类型。此外,一定要存档和解释这个应用程序是如何与服务器沟通的以及如何处理回应的。这将使你能够更容易地评估代码中是否存在安全漏洞。永远不信任来自客户机的密钥编码的规则仍然适用。任何安全控制都应该在服务器上实施,永远不要在用户的控制之下。
![]() |
Austin Liu 刘恒辉
Project Manager and Software Designer E-Mail:lzhdim@163.com Blog:https://lzhdim.cnblogs.com 欢迎收藏和转载此博客中的博文,但是请注明出处,给笔者一个与大家交流的空间。谢谢大家。 |
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】凌霞软件回馈社区,博客园 & 1Panel & Halo 联合会员上线
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】博客园社区专享云产品让利特惠,阿里云新客6.5折上折
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· Java 中堆内存和栈内存上的数据分布和特点
· 开发中对象命名的一点思考
· .NET Core内存结构体系(Windows环境)底层原理浅谈
· C# 深度学习:对抗生成网络(GAN)训练头像生成模型
· .NET 适配 HarmonyOS 进展
· 手把手教你更优雅的享受 DeepSeek
· 腾讯元宝接入 DeepSeek R1 模型,支持深度思考 + 联网搜索,好用不卡机!
· AI工具推荐:领先的开源 AI 代码助手——Continue
· 探秘Transformer系列之(2)---总体架构
· V-Control:一个基于 .NET MAUI 的开箱即用的UI组件库