2.3 KiB
GWT - Google Web Toolkit
GWT (Google Web Toolkit) je open-source framework koji omogućava razvoj i optimizaciju web aplikacija pomoću Java programskog jezika. GWT kompajlira Java kod u efikasan JavaScript kod koji se može izvršavati na različitim web pregledačima.
Arhitektura GWT-a
GWT se sastoji od tri glavna dela:
-
Klijentska strana: Ovde se nalazi Java kod koji se kompajlira u JavaScript i izvršava se na klijentskom uređaju. Ova strana je odgovorna za interakciju sa korisnikom i prikazivanje grafičkog korisničkog interfejsa.
-
Server strana: Ovde se nalazi Java kod koji se izvršava na serveru. Ova strana je odgovorna za obradu zahteva korisnika, pristup bazi podataka i poslovnu logiku aplikacije.
-
Komunikacija: GWT koristi RPC (Remote Procedure Call) mehanizam za komunikaciju između klijentske i serverske strane. RPC omogućava pozivanje metoda na serverskoj strani iz klijentske strane i prenos podataka između njih.
GWT Pentesting Tehnike
Prilikom pentestinga GWT aplikacija, neke od ključnih tehnika koje se mogu koristiti su:
-
Reverse Engineering: Analiziranje JavaScript koda generisanog od strane GWT-a kako bi se razumela logika aplikacije i identifikovali potencijalni bezbednosni propusti.
-
Brute Forcing: Pokušaj pronalaženja slabih lozinki ili otkrivanje osetljivih direktorijuma na serveru.
-
XSS (Cross-Site Scripting): Injektiranje zlonamernog koda u GWT aplikaciju kako bi se izvršio na klijentskom uređaju korisnika.
-
CSRF (Cross-Site Request Forgery): Iskorišćavanje nedostataka u implementaciji CSRF za napad na GWT aplikaciju.
-
SQL Injection: Pokušaj ubacivanja zlonamernih SQL upita kako bi se pristupilo ili modifikovalo bazu podataka.
-
File Inclusion: Iskorišćavanje slabosti u uključivanju datoteka kako bi se pristupilo osetljivim informacijama ili izvršio zlonamerni kod.
-
Session Hijacking: Napad na sesiju korisnika kako bi se preuzela kontrola nad njenim nalogom.
-
Server-Side Request Forgery (SSRF): Iskorišćavanje GWT funkcionalnosti za izvršavanje neovlašćenih zahteva na drugim serverima.
Ove tehnike mogu biti korisne prilikom pentestinga GWT aplikacija kako bi se identifikovali bezbednosni propusti i preporučile odgovarajuće mere zaštite.