'
Подгорный П.А.
ПРЕИМУЩЕСТВА ИСПОЛЬЗОВАНИЯ ФОРМАТА JSON В СОВРЕМЕННЫХ WEB-ПРИЛОЖЕНИЯХ С ТОЧКИ ЗРЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ *
Аннотация:
в работе рассматриваются преимущества использования формата данных JSON в современных web-приложениях в сравнении с не менее популярным форматом XML в контексте информационной безопасности как самого web-приложения, так и инфраструктуры, на которой данное приложение работает
Ключевые слова:
информационная безопасность, формат данных, уязвимость, XML, JSON
УДК 004.056
Подгорный П.А.
Воронежский государственный университет
(г. Воронеж, Россия)
ПРЕИМУЩЕСТВА ИСПОЛЬЗОВАНИЯ ФОРМАТА JSON
В СОВРЕМЕННЫХ WEB-ПРИЛОЖЕНИЯХ С ТОЧКИ ЗРЕНИЯ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Аннотация: в работе рассматриваются преимущества использования формата данных JSON в современных web-приложениях в сравнении с не менее популярным форматом XML в контексте информационной безопасности как самого web-приложения, так и инфраструктуры, на которой данное приложение работает.
Ключевые слова: информационная безопасность, формат данных, уязвимость, XML, JSON.
В современных web-приложениях сильно распространено использование таких текстовых форматов данных как JSON и XML. Это обусловлено тем, что они являются довольно универсальными и легко воспринимаются человеком. Используя эти форматы, как негласный стандарт, удается относительно легко обеспечить обмен информацией между множеством разнообразных сервисов.
JSON (JavaScript Object Notation) — это облегченный текстовый формат обмена данными, полностью независимый от языков программирования. Он прост для программного анализа и генерации. Основой данного формата является стандарт языка программирования JavaScript ECMA-262 3-го издания.
По своей структуре данный формат представляет:
XML (eXtensible Markup Language) — расширяемый язык разметки. Он используется во многих местах: web-сервисах, документах, изображениях. В сравнении с JSON, XML является более универсальным инструментом, содержащим большее количество функционала, но это приводит к появлению уязвимостей, не свойственных формату JSON. По своей структуре оба типа довольно похожи.
Рис. 1. Пример представления информации в форматах XML и JSON
На основе XML реализуется одна из самых популярных (рейтинг OWASP Top 10) уязвимостей – инъекция внешних сущностей XML, известная как XXE (XML External Entity). Данная уязвимость позволяет извлекать файлы, сообщения об ошибках и другую информацию с сервера, а также осуществлять атаки типа SSRF – отправлять запросы от имени сервера к внешним ресурсам.
Все это становится возможным благодаря столь большой популярности данного формата данных и, как следствие, большому распространению стандартных библиотек для обработки XML. Они должны быть универсальны, а значит, поддерживать спецификацию языка, в которой и содержится уязвимость.
Рассмотрим небольшой пример:
Рис. 2. Пример вредоносного XML запроса
На рисунке приведен пример XML запроса к серверу, который в теории позволяет получить содержимое стандартного файла, хранящего пароли, в качестве ответа приложения. И это лишь самый простой пример. Разнообразие реализаций данного типа уязвимостей очень велико.
JSON формат изначально был разработан без подобного рода уязвимостей, но идеальным с точки зрения безопасности его тоже назвать нельзя. На его основе так же реализуют различные атаки типа “Инъекция”, но в то же время их спектр не так велик, как для XML и большинство из них успешно предотвращаются проверкой данных перед их использованием, что является хорошим и правильным подходом даже без оглядки на информационную безопасность.
Таким образом, мы приходим к выводу, что с точки зрения безопасности данных в “чистом виде” JSON предпочтительнее. Но также стоит отметить, что, изучив данную тему и узнав подробнее о методах борьбы с данным типом уязвимостей, их можно почти полностью избежать, сосредоточившись на выборе формата данных с точки зрения, например, удобства использования.
СПИСОК ЛИТЕРАТУРЫ:
Podgorny P.A.
Voronezh State University
(Voronezh, Russia)
ADVANTAGES OF USING «JSON» FORMAT IN MODERN
WEB APPLICATIONS FOR INFORMATION SECURITY
Abstract: the paper discusses the advantages of using the JSON data format in modern web applications in comparison with the equally popular XML format in the context of information security of both the web application itself and the infrastructure on which this application runs.
Keywords: information security, data format, vulnerability, XML, JSON.
Номер журнала Вестник науки №11 (56) том 4
Ссылка для цитирования:
Подгорный П.А. ПРЕИМУЩЕСТВА ИСПОЛЬЗОВАНИЯ ФОРМАТА JSON В СОВРЕМЕННЫХ WEB-ПРИЛОЖЕНИЯХ С ТОЧКИ ЗРЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ // Вестник науки №11 (56) том 4. С. 242 - 245. 2022 г. ISSN 2712-8849 // Электронный ресурс: https://www.вестник-науки.рф/article/6561 (дата обращения: 19.04.2024 г.)
Вестник науки СМИ ЭЛ № ФС 77 - 84401 © 2022. 16+
*