Архитектура web-приложений
В традиционных web-приложениях (не использующих AJAX) основная нагрузка на клиентской стороне ложится на браузер: он и данные от пользователя принимает, и HTTP-запросы отправляет/обрабатывает. JavaScript используется только для простой логики и оптимизации: проверить равенство одинаковых паролей, etc…

Запросы браузера обрабатываются на сервере: внутренняя логистика (PHP, PERL, ASP, ASPX, JSP, etc) проверяет данные пользователя, обрабатывает их (возможно, используя базы данных) и отправляет ответ пользователю.

Схема работы традиционного web-приложения:

http://heliosart.info/images/others/image001.gif

Минусы традиционной структуры:
• Большая пауза между запросом пользователя и ответом сервера
• Традиционные приложения не работают с пользователем на клиентской стороне
• Основные факторы, влияющие на задержку:
• Время запроса
• Время ответа
• Ширина канала связи
• Время обработки на сервере

Что такое AJAX?
AJAX (Asynchronous JavaScript and XML, асинхронный JavaScript и XML) – это не какая-то отдельная технология или язык, а принцип разработки интерактивных web-страниц и приложений. Ее датой рождения принято считать 18 февраля 2005 года – день выхода в свет статьи Джесси Джеймса Гарретта «Новый подход к web-приложениям». Технология эта довольно молодая, поэтому освоить ее в полной мере смогли не многие сайты.

Впервые этот принцип начала использовать компания Microsoft, реализовав в своем браузере класс XMLHttpRequest для работы с web-версией Outlook. Затем последовали реализации в браузерах Mozilla, Apple Safari и Opera.

Сейчас технология AJAX применяется на многих сайтах, особенно в этом усердствует компания Google, использующая ее в значительной части своих сервисов. К примеру: gmail.com, maps.google.com, Google Suggest, Google Spell-check.

Архитектура AJAX-приложений
В клиентской части AJAX-приложения главную роль играет JavaScript:
• Отправляет HTTP-запрос
• Производит моментальный отзыв на действия пользователя
• Страница продолжает реагировать на события, действия пользователя
• По событию обрабатывает ответ сервера и манипулирует DOM согласно результату запроса


http://heliosart.info/images/others/image002.gif

Вся технология AJAX основана на объекте XmlHttpRequest, при помощи которого и происходит отправка запроса и получение ответа от сервера.

Вот пример реализации:
Объект XmlHttpRequest позволяет отправлять любые HTTP запросы:
• GET
• POST
• HEAD
• WebDav COPY
• WebDav DELETE

С помощью XmlHttpRequest можно загружать любые типы ресурсов: XML, HTML, простой текст, графику, Flash-ролики, скрипты и другой медиа-контент.

Но есть одно «но»: из соображений безопасности запросы можно отправлять только на тот хост и порт, с которого загружена страница.

Сама технология AJAX безобидна и безопасна, но ее реализация может сделать из нее опасного зверя.

Обзор с точки зрения безопасности
При использовании традиционной схемы построения web-приложений, логика, в основном, работает только на стороне сервера, что очень схоже с простыми консольными приложениями: ввел данные – получил ответ. Команды пользователя отсылаются на сервер:
• Пользователь нажал на кнопку «Оплатить»
• Пользователь отправил сообщение на форум
• Пользователь перешел на страницу с информацией о товаре

Приложение на сервере возвращает целую страницу с ответом.

Атака состоит в отправке специально сформированного запроса:
• Отправка сообщения с HTML-кодом (XSS)
• Загрузка неправильной картинки с целью взлома (загрузка Shell'а)
• Вставка служебных символов в запрос (SQL Injection, php injection, pipe)
• Запрос ресурсов, к которым нет доступа

Методы защиты:
• Проверка всех(!) поступающих данных
• Распределение полномочий в проверке между клиентской и серверной стороной:
клиент – удобство, сервер – безопасность.

Осуществить такую фильтрацию очень просто, так как тип всех вводимых данных известен заранее, допустимые значения известны заранее, количество параметров ограничено и все определяется программистом.

В теории все просто, но что мы видим на практике?
Уязвимости web-приложений на каждом углу. Согласно последним данным, уязвимо 75% всех ресурсов в сети Internet. Большинство сообщений в почтовых рассылках посвящено web-уязвимостям.

При использовании технологии AJAX при построении приложения логистика распределяется между клиентом и сервером. JavaScript реагирует на команды пользователя, делает функциональные запросы к серверу:
• Получить цену для товара
• Получить список городов для заданной области/штата
• Получить последний правильный адрес для пользователя
• Обновить данные о пользователе в базе

В ответ на запрос приходит не целая страница, а только часть ее, которая была запрошена, что приводит к экономии трафика и увеличению скорости загрузки.

При такой реализации взломщик находится ВНУТРИ приложения. Он может узнать имена функций и переменных, параметры функций, их типы и допустимые значения.

Теперь он не ищет среди ограниченного числа параметров те, через которые можно произвести атаку, а исследует API приложения прямо изнутри его.
Также при атаке он может использовать «доверие» серверной части приложения к данным, полученным от клиентской части.

Методы защиты:
Фильтрация данных, полученных из форм. Проверка типов файлов, загружаемых пользователем, особое внимание обратить на графические данные (WMF, многочисленные уязвимости в PNG/JPG).

Под особым контролем нужно держать работу открытых функций и сервисов, так как они являются путем для взломщика к вашему серверу.

Под конец, пример из реального приложения Microsoft «Atlas» Framework:

Без комментариев, как говорится…