软件测试 | 使用TamperData观察实时的响应头
问题
响应头是在服务器发送页面的HTML代码之前,从服务器发送到浏览器。这些头信息包含着关于下列内容的有用信息:服务器希望的通信方式,页面类型,以及诸如截止日期和内容类型这样的元数据。响应是获取Web应用的先关信息的绝佳来源,对于我们想通过它实现的特殊功能来说,尤其如此。
响应头是攻击者用于查找应用特有信息的地方。与你的Web服务器和平台相关的信息将会作为标准请求的一部分被泄露出去。
解决方案
正如3.3节中所提到的,你可以在请求头旁边找到响应头,也可以通过代理来找到头信息,比如WebScarb。我们将利用这项任务来向你介绍TamperData,它是一个方便的工具,可以用在这项任务和其他几项任务中。
按照2.2节,安装TamperData。它的安装方法与大多数附加组件相同。
从“工具”菜单中打开TamperData,然后浏览到某个页面。在TamperData窗口中,你会发现它列举出了访问过的页面,这与WebScarab和FireBug是一样的。单击某个页面,就会显示出请求头和响应头,如图3-12所示。
讨论
响应头和响应本身之间存在着差别。响应头描述响应,它们是元数据。例如,响应头通常会包含以下内容:
状态(Status)
内容类型(Content-Type)
内容编码(Content-Encoding)
内容长度(Content-Length)
截止日期(Expire)
追后修改时间(Last-Modified)
多年来,响应头有所演化,因此,最初的规范(可以从http:///http://www.w3.org/Protocols/rfc2616/rfc2616-sec6.html访问)只对其中某些项(比如状态)而言是正确的。
另外,有些响应头会显示。服务器软件以及响应发出的日期和时间。如果你允许Internet上的每个人看到你正在使用的服务器和平台,那么现在就应该确保你安装了最新的补丁,并阻止了一切已知的漏洞。
请特别注意Content-Type头信息。大多数时间它只不过是像“text/html;charset=UFT-8”这样的内容,表示正常的HTML响应和编码。不过,它也可能引用外部应用或引起异常的浏览器行为,而这些异常之处正式攻击可能悄悄潜入的地方。
例如,已知有些旧版的PDF阅读器会执行通过查询字符串传入的JavaScript(详细情况请访问http://www.adobe.com/support/security/advisories/apsa07-01.html)。如果你的应用提供PDF,那么它是直接将Content-Type设置为applicant/pdf吗?又或者它设置了Content-Disposition头信息,要求用户先下载PDF,从而避免了任何JavaScript趁虚而入?
动态重定向是另一项危险的特性,因为它们可能会被攻击者用来将恶意网站的链接伪装成你的网站的链接,从而滥用了用户对你的网站的信任。作为链接,动态重定向通常具有如下形式:
http://www.example.com/reirect.php?url=http://ha.ckers.org
可以看到,这些细节可能很难对付。如果你的应用使用某种特殊的头信息来处理文件上传、下载、重定向或任何其他事务,那么请确保研究了所有具体的安全防范措施,因为实际的危险要比这里所能列出的还要多。
新的响应头仍在不断地被开发出来。TrackBack、PingBack和RefBack是一种新的、通常被称为LinkBack的Web功能的相互竞争的标准。这些LinkBack提供了一种双向的链接功能。它们因为迎合了当前的博客热而备受欢迎。
例如,如果Fred从自己的博客链接到Wilma的博客,那么他们的博客托管服务可以使用某种标准进行通信,于是Wilma的博客将显示Fred链接到她的博客。HTTP头可帮助识别使用的是哪些标准,并传送链接信息。
