这个问题出现在我们的项目中:
安全性现在可以在 HTTPS 下使用 MobileSecurity-Test(XSRF 等)运行,其中包括适用于 Android 的 App Authenticity。我们的适配器不需要任何用户/密码验证,因此没有配置其他领域、验证或登录模块。应用程序可以在 WL.Client.connect 之后立即调用适配器过程。
Worklight 在服务器端做了什么来防止服务器端 Javascript 代码注入攻击?
有关此类攻击的详细信息:http: //media.blackhat.com/bh-us-11/Sullivan/BH_US_11_Sullivan_Server_Side_WP.pdf
换句话说,(虽然很困难)让我们假设有人能够使用我们的 APK 创建一个能够欺骗 Worklight Auth/Security 机制的新 APK,那么我们是否容易受到服务器端 Javascript 代码注入攻击?
如果所有 WL 服务器调用的所有参数都被评估并以最安全的方式从文本解析为 Javascript 对象,并且参数文本永远不可能在服务器上作为 Javascript 代码执行,那么这几乎可以归结为一个问题?
如果是这样,WL Server Javascript 实现是否有任何其他类型的可能攻击受到保护,我们甚至可能不知道?