5个html5的安全性问题

转载 2012年03月23日 20:40:14
在大家都在强调html5有多好,都在瞩目html5/css3的时候,html5也被曝出了可能存在的几个安全性的问题 ,这事html5本身优秀的标准的背后存在的一系列的并发症问题,但是并不影响html5的标准规范对未来的影响,我们只需要知道并且加以防范就可以了。


 
 
下面的内容并没有使用什么特别的顺序,我们要介绍五种可能会利用HTML5的功能进行攻击的方法:
 
5, 表单篡改:另一个新功能让攻击者可以在被注入JavaScript的网站(例如XSS攻击)中更改该网页上的表单行为。举例来说,攻击者可以改变一个网络商店的正常行为,不是将内容送到购买或是登录页面,而是将用户的身分认证信息发送到攻击者自己的网站。
 
4, 利用地理定位追踪受害者:地理定位是HTML5新功能中最受注目的一个。因为安全和隐私的考虑,网站必须先得到用户的批准,随后才能获得位置讯息。然而就和以前出现过的其他功能一样,例如Vista的用户帐户控制,Android的应用程序权限,还有无效的HTTPS凭证等,这些需要用户作决定的安全措施几乎没有任何效果。而一旦有了授权,网站不仅可以知道受害者的位置,而且还可以在用户移动时对其进行实时追踪。
 
3, 利用桌面通知做社会工程学攻击:我们在HTML5 的五大优秀功能文章中曾经提到过HTML5的一个新功能:桌面通知。这些出现在浏览器之外的弹出窗口,其实是可以用HTML程序代码进行定制的。虽然这种 功能带来了很不错的交互方式,但也可能导致社会工程学攻击,例如网络钓鱼或者假冒杀毒软件等。看看下面的图片就可以想象到,攻击者可以如何利用这个新功能 了。
 
2, 利用跨域请求或WebSockets的端口扫描:有了HTML5,浏览器现在可以连到任何IP地址或网站的(几乎)任何端口。虽然除非目标网站有特别的允 许,不然并不能接收到来自任意端口连接的回应,但是研究人员表示,这类请求所花的时间可以用来判断目标端口是打开的还是关闭的。因此攻击者就可以直接利用 浏览器对受害者的内部网络进行端口扫描。
 
1, 点击劫持更加容易:点击劫持本身不是种新的攻击,这种攻击的目的是窃取受害者的鼠标按钮点击,然后将点击定向到攻击者所指定的其他页面。攻击者的目的是让 用户在不知情的情况下点击隐藏的链接。目前,对于点击劫持最好的服务器端防御措施之一是被称为Framekilling的技术。本质上来说,受到影响的网 站可以利用JavaScript来验证自己是否在一个iframe中运行,如果是的话,就拒绝显示页面内容。这种技术已经被在用在Facebook、Gmail和其他一些网站中。但是HTML5在iframe中增加了一个新的沙盒属性,该属性会让网站停止执行JavaScript脚本。在大多数情况 下,这其实是比较安全的做法,但也存在缺点,就是会抵消目前对点击劫持最好的防御措施。
 
这里只列了五项HTML5可能导致的新攻击,趋势科技只是概略的描述。请继续收看这一系列的最后一篇:HTML5所带来丑恶的一面,还有我们对HTML5攻击所发表的报告。这篇文章是HTML5系列的第二篇。你也可以先看看第一篇:探讨新的HTML5标准,以了解那些能够加强网站互动性的新功 能。而在今 天的这篇文章 里,趋势科技将带领读者看看这些HTML5功能可能被攻击者滥用的方式。这里并不打算详尽的进行举例,但如果有兴趣了解更多内容,我们会在本系列第三篇中 讨论关于HTML5攻击的深入报告。
 
3, 利用桌面通知做社会工程学攻击:我们在HTML5 的五大优秀功能文章中曾经提到过HTML5的一个新功能:桌面通知。这些出现在浏览器之外的弹出窗口,其实是可以用HTML程序代码进行定制的。虽然这种 功能带来了很不错的交互方式,但也可能导致社会工程学攻击,例如网络钓鱼或者假冒杀毒软件等。看看下面的图片就可以想象到,攻击者可以如何利用这个新功能 了。

5个html5的安全性问题

在大家都在强调html5有多好,都在瞩目html5/css3的时候,html5也被曝出了可能存在的几个安全性的问题 ,这事html5本身优秀的标准的背后存在的一系列的并发症问题,但是并不影响html5...
  • shareCode
  • shareCode
  • 2012年04月01日 10:02
  • 567

Cookie的安全性问题的解决方案

面试被问到了登录时候用cookie的话,安全性问题怎么解决?我基本没有答上来……自己的回答也是醉啊,当时紧张的大脑都不能思考了。所以自己重新学习了一下,先把弄懂了的解决方案记录下来,今后有更好的方法再...
  • XIAOZHUXMEN
  • XIAOZHUXMEN
  • 2016年07月29日 10:20
  • 3022

Web中的安全性问题

根据2010年OWASP发布的Web应用程序安全风险主要是SQL注入攻击、跨网站脚本、伪造客户端请求、Cookie盗取,传输层保护不足。  1 SQL注入攻击    随着B/S框架结构在系统开发中的广...
  • qq_16681169
  • qq_16681169
  • 2016年03月14日 12:22
  • 768

[web安全] HTML5安全

一、新标签的XSS HTML5中新增的标签,这个标签可以在网页中远程加载一段视频。与标签类似的还有标签,用于远程加载一段音频。 ...
  • hitwangpeng
  • hitwangpeng
  • 2015年06月15日 16:35
  • 964

JavaEE(二)---Web 应用程序安全性问题及基本安全实施策略

注:本文是答9.web中安全性问题的考虑,如何防止 的,仅为了自己学习,向原博主致敬。 原博文网址:http://www.cnblogs.com/sunniest/p/4646515.html 一...
  • u014656992
  • u014656992
  • 2016年03月09日 13:38
  • 837

高安全性操作系统的设计

一、 看门狗监控线程 1. 让一个线程去做这个事情(喂狗),而这个线程需要知道其它线程目前的状态(这个应该很容易);这样就做到了用一个狗来监控多个线程或进程的目的. 2. watchdog虽然...
  • Airbnb
  • Airbnb
  • 2015年03月17日 14:45
  • 952

applet跨域访问的安全性问题

最近在用jasperreport做报表时,出现一个问题,项目发布在内网时,打印一切正常,但是发布到外网,而且使用域名访问时,总是报拒绝访问的错误: java.security.AccessContr...
  • mhmyqn
  • mhmyqn
  • 2012年12月30日 16:21
  • 4679

并发问题 安全性

安全性: 1. 同步 2. 非同步1.同步1.1 锁1.1.1隐式锁synchronized1.1.2显示锁lock ReentrantLock ReadWriteLock1.2 无锁1.2....
  • power0405hf
  • power0405hf
  • 2016年08月23日 15:13
  • 185

web前端安全性 学习笔记

1.防SQL注入 SQL注入主要是单引号没有过滤,让人利用,重新生成具有威胁性的SQL语句。 例如:http://test.com/view.asp?id=100 如果存在SQL注入,可以写成http...
  • vuturn
  • vuturn
  • 2015年02月11日 19:51
  • 1912

html5+css 一列布局

一列布局 body{ margin:0; padd
  • baidu_32731497
  • baidu_32731497
  • 2016年07月08日 22:16
  • 453
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:5个html5的安全性问题
举报原因:
原因补充:

(最多只允许输入30个字)