'
Научный журнал «Вестник науки»

Режим работы с 09:00 по 23:00

zhurnal@vestnik-nauki.com

Информационное письмо

  1. Главная
  2. Архив
  3. Вестник науки №11 (56) том 4
  4. Научная статья № 40

Просмотры  46 просмотров

Подгорный П.А.

  


ПРЕИМУЩЕСТВА ИСПОЛЬЗОВАНИЯ ФОРМАТА JSON В СОВРЕМЕННЫХ WEB-ПРИЛОЖЕНИЯХ С ТОЧКИ ЗРЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ *

  


Аннотация:
в работе рассматриваются преимущества использования формата данных JSON в современных web-приложениях в сравнении с не менее популярным форматом XML в контексте информационной безопасности как самого web-приложения, так и инфраструктуры, на которой данное приложение работает   

Ключевые слова:
информационная безопасность, формат данных, уязвимость, XML, JSON   


УДК 004.056

Подгорный П.А.
Воронежский государственный университет

(г. Воронеж, Россия)



ПРЕИМУЩЕСТВА ИСПОЛЬЗОВАНИЯ ФОРМАТА JSON

В СОВРЕМЕННЫХ WEB-ПРИЛОЖЕНИЯХ С ТОЧКИ ЗРЕНИЯ

ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

 

Аннотация: в работе рассматриваются преимущества использования формата данных JSON в современных web-приложениях в сравнении с не менее популярным форматом XML в контексте информационной безопасности как самого web-приложения, так и инфраструктуры, на которой данное приложение работает.

 

Ключевые слова: информационная безопасность, формат данных, уязвимость, XML, JSON.

 

В современных web-приложениях сильно распространено использование таких текстовых форматов данных как JSON и XML. Это обусловлено тем, что они являются довольно универсальными и легко воспринимаются человеком. Используя эти форматы, как негласный стандарт, удается относительно легко обеспечить обмен информацией между множеством разнообразных сервисов.

JSON (JavaScript Object Notation) — это облегченный текстовый формат обмена данными, полностью независимый от языков программирования. Он прост для программного анализа и генерации. Основой данного формата является стандарт языка программирования JavaScript ECMA-262 3-го издания.

По своей структуре данный формат представляет:

  1. Коллекция пар имя/значение. На разных языках это реализовано как объект, запись, структура, словарь, хеш-таблица, список с ключами или ассоциативный массив.
  2. Упорядоченный список значений. В большинстве языков это реализуется как массив, вектор, список или последовательность.

XML (eXtensible Markup Language) — расширяемый язык разметки. Он используется во многих местах: web-сервисах, документах, изображениях. В сравнении с JSON, XML является более универсальным инструментом, содержащим большее количество функционала, но это приводит к появлению уязвимостей, не свойственных формату JSON. По своей структуре оба типа довольно похожи.

Рис. 1. Пример представления информации в форматах XML и JSON

 

На основе XML реализуется одна из самых популярных (рейтинг OWASP Top 10) уязвимостей – инъекция внешних сущностей XML, известная как XXE (XML External Entity). Данная уязвимость позволяет извлекать файлы, сообщения об ошибках и другую информацию с сервера, а также осуществлять атаки типа SSRF – отправлять запросы от имени сервера к внешним ресурсам.

Все это становится возможным благодаря столь большой популярности данного формата данных и, как следствие, большому распространению стандартных библиотек для обработки XML. Они должны быть универсальны, а значит, поддерживать спецификацию языка, в которой и содержится уязвимость.

Рассмотрим небольшой пример:

 

Рис. 2. Пример вредоносного XML запроса

 

На рисунке приведен пример XML запроса к серверу, который в теории позволяет получить содержимое стандартного файла, хранящего пароли, в качестве ответа приложения. И это лишь самый простой пример. Разнообразие реализаций данного типа уязвимостей очень велико.

JSON формат изначально был разработан без подобного рода уязвимостей, но идеальным с точки зрения безопасности его тоже назвать нельзя. На его основе так же реализуют различные атаки типа “Инъекция”, но в то же время их спектр не так велик, как для XML и большинство из них успешно предотвращаются проверкой данных перед их использованием, что является хорошим и правильным подходом даже без оглядки на информационную безопасность.

Таким образом, мы приходим к выводу, что с точки зрения безопасности данных в “чистом виде” JSON предпочтительнее. Но также стоит отметить, что, изучив данную тему и узнав подробнее о методах борьбы с данным типом уязвимостей, их можно почти полностью избежать, сосредоточившись на выборе формата данных с точки зрения, например, удобства использования.

 

СПИСОК ЛИТЕРАТУРЫ:

 

  1. Официальный сайт открытого проекта обеспечения безопасности веб-приложений. Топ 10 угроз web-приложений [Электронный ресурс]. URL: https://owasp.org/www-project-top-ten/ (дата обращения: 25.11.22).
  2. Описание формата данных JSON [Электронный ресурс]. URL: https://www.json.org (дата обращения: 25.11.22).
  3. XXE: XML external entity [Электронный ресурс]. URL: https://habr.com/ru/company/vds/blog/454614/ (дата обращения: 25.11.22).

 

Podgorny P.A.

Voronezh State University

(Voronezh, Russia)

 

ADVANTAGES OF USING «JSON» FORMAT IN MODERN

WEB APPLICATIONS FOR INFORMATION SECURITY

 

Abstract: the paper discusses the advantages of using the JSON data format in modern web applications in comparison with the equally popular XML format in the context of information security of both the web application itself and the infrastructure on which this application runs.

 

Keywords: information security, data format, vulnerability, XML, JSON.

  


Полная версия статьи PDF

Номер журнала Вестник науки №11 (56) том 4

  


Ссылка для цитирования:

Подгорный П.А. ПРЕИМУЩЕСТВА ИСПОЛЬЗОВАНИЯ ФОРМАТА JSON В СОВРЕМЕННЫХ WEB-ПРИЛОЖЕНИЯХ С ТОЧКИ ЗРЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ // Вестник науки №11 (56) том 4. С. 242 - 245. 2022 г. ISSN 2712-8849 // Электронный ресурс: https://www.вестник-науки.рф/article/6561 (дата обращения: 19.04.2024 г.)


Альтернативная ссылка латинскими символами: vestnik-nauki.com/article/6561


Нашли грубую ошибку (плагиат, фальсифицированные данные или иные нарушения научно-издательской этики) ?
- напишите письмо в редакцию журнала: zhurnal@vestnik-nauki.com

Вестник науки СМИ ЭЛ № ФС 77 - 84401 © 2022.    16+



* В выпусках журнала могут упоминаться организации (Meta, Facebook, Instagram) в отношении которых судом принято вступившее в законную силу решение о ликвидации или запрете деятельности по основаниям, предусмотренным Федеральным законом от 25 июля 2002 года № 114-ФЗ 'О противодействии экстремистской деятельности' (далее - Федеральный закон 'О противодействии экстремистской деятельности'), или об организации, включенной в опубликованный единый федеральный список организаций, в том числе иностранных и международных организаций, признанных в соответствии с законодательством Российской Федерации террористическими, без указания на то, что соответствующее общественное объединение или иная организация ликвидированы или их деятельность запрещена.