En el artículo de ayer hablamos de la seguridad en AJAX y se dieron algunas pautas y peligros, hablando principalmente de componentes que forman AJAX. Hoy toca avanza en la línea de mostrar más peligros y mitigación.
En la siguiente imagen se puede visualizar un esquema de cómo funciona un XSS con DOM, denominados DOM-Based XSS.
Un grave problema utilizando AJAX entre nombres de dominios es lo que se conoce como Same Origin Policy. Con este problema de seguridad un script obtenido en un origen puede cargar o modificar propiedades del documento desde otro origen no igual al primero.
El envenenamiento XML es otro de los problemas de seguridad a los que nos podemos enfrentar. El servidor debe validar todos los datos que recibe, ya que un posible XML malformado puede causar un crash en el servidor provocando una denegación de servicio.
La ejecución de código malicioso también se encuentra en este ámbito, y es importante tenerlo en cuenta. Las llamadas que se realizan con AJAX ejecutan en background sin ninguna interacción del usuario, por lo que el usuario no es consciente de lo que se está realizando en un sitio concreto, por lo que la web puede aprovechar este hecho para realizar un robo de cookies. Es un problema de seguridad que se debe tener muy en cuenta, ya que se puede llevar a cabo de manera silenciosa y poco sospechosa.
En la siguiente entrega hablaremos de los últimos peligros y posibles soluciones que ayuden a evitar estas amenazas en AJAX, la tecnología silenciosa...
No hay comentarios:
Publicar un comentario