この質問は私たちのプロジェクトで出てきました:
セキュリティは、Android の App Authenticity を含む MobileSecurity-Test (XSRF など) を使用して HTTPS で機能するようになりました。私たちのアダプターはユーザー/パス認証を必要としないため、他のレルム、認証、またはログイン モジュールは構成されていません。アプリは、WL.Client.connect の直後にアダプター プロシージャを呼び出すことができます。
サーバー・サイド Javascript コード・インジェクション攻撃を防ぐために Worklight はサーバー・サイドで何をしていますか?
このタイプの攻撃の詳細: http://media.blackhat.com/bh-us-11/Sullivan/BH_US_11_Sullivan_Server_Side_WP.pdf
つまり、(困難ではありますが) 誰かが私たちの APK を使用して Worklight Auth/Security メカニズムをだますことができる新しい APK を作成できたと仮定すると、サーバー側の Javascript コード インジェクション攻撃に対して脆弱になりますか?
すべての WL サーバー呼び出しのすべてのパラメーターが評価され、最大限安全な方法でテキストから Javascript オブジェクトに解析され、サーバー上でパラメーター テキストが Javascript コードとして実行される可能性がまったくないかどうかという問題に要約されます。 ?
もしそうなら、WL サーバー Javascript 実装が保護されていて、私たちが気付いていない可能性のある追加のタイプの攻撃はありますか?