HTML5安全攻防详析之八:Web Socket攻击

最新推荐文章于 2024-06-01 13:53:21 发布
最新推荐文章于 2024-06-01 13:53:21 发布
阅读量167 收藏
点赞数
文章标签: 网络 javascript ViewUI
原文链接:http://www.cnblogs.com/mayt-/p/4991318.html
版权

HTML5限制了Web Socket可以使用的端口,但是,它可能会成为攻击者的载体。想象你打开一个页面,这个页面打开Socket连接并且执行一个内部IP地址的端口扫描。如果端口扫描发现了内部网络上发现了一个开启的80端口,一个隧道就可能通过你的浏览器建立。这样做会实际上最终绕过防火墙,并且允许访问内部内容。

HTML5的最好的功能之一WebSocket允许浏览器打开到特定IP目标端口的Socket连接,它提供了基于TCP Socket的全双工双向通信,可以实现消息推送机制,大大减少了服务器和浏览器之间的不必要的通信量。例如可以用它来实现QQ的消息弹窗或者微博的新消息通知,让我们可以更好的实现Web应用。

iPhone的消息推送

HTML5限制了Web Socket可以使用的端口,但是,它可能会成为攻击者的载体。想象你打开一个页面,这个页面打开Socket连接并且执行一个内部IP地址的端口扫描。如果端口扫描发现了内部网络上发现了一个开启的80端口,一个隧道就可能通过你的浏览器建立。这样做会实际上最终绕过防火墙,并且允许访问内部内容。

WebSocket通信原理

Web Socket会带来的威胁包括:

◆成为后门

◆端口扫描

◆僵尸网络(一到多的连接)

◆构造基于WebSocket的嗅探器

JS-Recon是一个基于HTML5的JavaScript网络探测工具,它可以使用WebSocket执行网络及端口扫描。

 

HTML5安全攻防详析之八:Web Socket攻击

JS-Recon

转载于:https://www.cnblogs.com/mayt-/p/4991318.html

aiwzwid2749
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
即时通讯安全:跨站点WebSocket劫持漏洞
蔚可云的博客
08-19 855
尽管 WebSocket 协议设计时充分考虑了安全保障机制,但随着 WebSocket 技术推广,安全工作者们慢慢还是发现了一些 WebSocket 相关的安全漏洞,譬如 Wireshark 的漏洞 CVE-2013-3562 (Wireshark 1.8.7 之前的 1.8.x 版本中的 Websocket 解析器中的 epan/dissectors/packet-websocket.c 中的‘tvb_unmasked’函数中存在多个整数符号错误,远程攻击者可通过恶意的数据包利用这些漏洞造成拒绝服务)。
渗透攻击实例-WebSocket攻击
Python_0011的博客
02-07 1127
跨站WebSocket劫持(也称为跨域WebSocket劫持)是一种由于WebSocket握手流程的安全缺陷所导致的跨站点请求伪造(CSRF)漏洞。当WebSocket握手请求仅依靠HTTP cookie进行话处理并且不包含任何CSRF token或其他不可预测的值时,就出现这种漏洞。攻击者可以在自己的站点上创建一个恶意网页,从而建立与易受攻击的应用程序的跨站点WebSocket连接。该应用程序将在受害用户与该应用程序的话的上下文中处理连接。
【基础篇】————19、隐匿攻击WebSocket
Fly_鹏程万里
05-26 887
在探索可以在红队参与期间使用的日常新方法和工具中特别关注命令和控制通道,这些通道可以逃避安全产品,并可以通过使用非传统方法隐藏流量。Arno0x0x发现某些Web网关不检查Web套接字内容。因此,它可以用作向主机执行任意命令的通信通道。 Arno0x0x开发了一个实现此方法的命令和控制工具(WSC2)。该工具是用python编写的,可以用于数据泄露,因为它提供了文件传输功能和shell功能。 ...
小心 !跨站点websocket劫持!
码农翻身
01-09 745
开始之前,先热热身,讲个小故事:年终奖下来了,张大胖琢磨着去买点儿股票作为投资,他用浏览器访问了www.stock.com , 输入了用户名和密码,登录成功。stock....
PortSwigger 基于 WebSocket安全漏洞
weixin_42451330的博客
03-12 488
本文介绍PortSwigger 靶场 WebSocket 安全漏洞,包括WebSocket漏洞介绍、利用方式、防御方式等。如有疑问欢迎私聊。
HTML5安全风险详析
03-01
CORS-CrossOriginResourcesSharing,也即跨源资源共享,它定义了一种浏览器和服务器交互的方式来确定是否...它导致很多web开发者很痛苦,后来搞出很多跨域方案,比如JSONP和flashsocket。如下图所示:后来出现了CORS-
信号路径的每一环节:剖视及详析
12-13
图 1:典型的信号路径 每当我们设计高速的混合信号系统时,我们最好先审视信号路径的每一环节,详细评估各区块的信号失真程度。本文主要介绍输入或接收器路径的设计。发送器或输出路径的设计将留待以后再详细...
HTTP请求协议
abc2580_的博客
10-22 341
HTTP: 概念:Hyper Text Transfer Protocol 超文本传输协议 传输协议:定义了,客户端和服务器端通信时,发送数据的格式 特点: 1.基于TCP/IP的高级协议 2.默认端口号:80 3.基于请求/响应模型的:一次请求对应一次响应 4.无状态的:每次请求之间相互独立,不能交互数据 历史版本: 1.0:每一次请求响应都建立新的连接 1.1:复用连接 请求消息数据格式 1.请求行 请求方式 请求url 请求协议/版本 2.请求头 3.请求空行 4.请求体
WebSocket安全漏洞
Eason_LYC安全白帽子的成长博客
05-14 2502
websocket安全,网上讨论的不多,不是非安全方向,就是太晦涩就。本文正好适合初学者在熟悉websocket基础知识的同时,学习其安全技术,并有靶场进行练习,是绝佳的上手websocket安全漏洞挖掘的文章
Python WebSocket发送DDOS攻击日志
zheng_ruiguo的专栏
07-01 754
''' WebSocketClientSendDDOSAttckLog-20171201-ok by 郑瑞国 ''' import websocket import threading import time,datetime import re import os,os.path def on_message(ws, message): print(message) def on_...
浅谈WebSocket
Green_Cap的博客
03-24 210
WebSocket 简单来说,WebSocket是一种协议,与HTTP协议一样位于应用层,都是TCP/IP协议的子集。HTTP协议是单向通信协议,只有客户端发起HTTP请求,服务端才返回数据。而WebSocket协议是双向通信协议,在建立连接之后,客户端和服务器都可以主动向对方发送或接受数据。WebSocket协议建立的前提需要借助HTTP协议,建立连接之后,持久连接的双向通信就与HTTP协议无...
WebSocket概述极其漏洞解析
Zeker62的博客
08-24 764
目录什么是WebsocketWebsocket和HTTP区别Websocket如何建立WebSocket消息是怎样的?WebSocket安全漏洞操作WebSocket消息利用漏洞操纵 WebSocket 握手利用漏洞使用跨站 WebSockets 来利用漏洞如何保护 WebSocket 连接什么是WebsocketWebsocket是一种通信协议 通过HTTP发起的,全双工 用于现代We...
Java网络编程(上)
最新发布
qq_34471880的博客
06-01 816
数据在网络的传输, 局域网的概念, 广域网的概念, 网络协议, TCP五层模型, 网络封装 网络分用
冶炼钢铁厂热风炉发酵池煤矸石进回水无线远程温度监测
weixin_46970383的博客
05-30 299
Modbus RTU 标准Modbus-RTU通信协议。Modbus RTU使用二进制格式传输数据,并使用串行通信协议(如RS-232或RS-485)进行数据传输。它通常用于连接不同厂家的可编程逻辑控制器(PLC)、传感器、执行器和其他自动化设备。
note-网络是怎样连接的4 接入网和网络运营商
qq_42783188的博客
05-29 413
在BAS和运营商路由器之间的ADSL/FTTH接入服务商的网络中建立隧道,把用户到BAS的接入网连接起来,形成一条从用户一直到运营商路由器的通道。这些状况不是稳定出现的。一方路由器让相连的运营商的路由器告知路由信息后,就能知道对方路由器连接的所有网络,把这些信息写入自己的路由表中,就能向那些网络发送包了。运营商之间的路由交换是在特定路由器间一对一进行的,运营商可以只将路由信息提供给交了费的运营商,没交费的运营商无法将网络包发送过来。Modem产生的信号是以一定周期振动的波,振动的起始位置不同,波形就不同。
解密网络流量监控:优化IT运维的利器
Johnstons的博客
05-29 341
通过实时监测和分析网络流量,管理员可以及时发现并解决网络问题,确保业务的顺畅进行。作为一名资深网络工程师,我将分享一些关于网络流量监控的重要知识,并探讨如何在IT运维中运用这一工具优化网络性能,确保业务的顺畅进行。网络流量监控是指对网络中的数据流进行实时监测和分析,以了解网络使用情况、性能状况和潜在问题。通过网络流量监控,可以及时发现网络拥塞、异常流量和安全威胁,帮助管理员快速做出反应,保障网络的稳定运行。定期对监控数据进行分析,发现网络性能问题的潜在原因,并采取相应的优化措施,从而持续提升网络性能。
IP协议说明
banchengl的博客
05-28 1262
IP 指网际互连协议, Internet Protocol 的缩写,是 TCP/IP 体系中的网络层协议。设计 IP 的目的是提高网络的可扩展性:一是解决互联网问题,实现大规模、异构网络的互联互通;二是分割顶层网络应用和底层网络技术之间的耦合关系,以利于两者的独立发展。根据端到端的设计原则, IP 只为主机提供一种无连接、不可靠的、尽力而为的数据包传输服务。
计算机网络 第一章 计算机网络体系结构
2401_84080967的博客
05-30 818
网络由加上组成,其实准确来说,对于网络还应该加上。其中所谓的节点可以是计算机、路由器、集线器或是路由器,链路是节点之间的连接线路,可以是无线也可以是有线。这就是网络,当使用路由器之后,我们就可以将多个网络连接在一起形成所谓的,也就是网络网络。同时需要注意以下两个名词的表达,小写的internet和大小的Internet,小写的就是泛指多个计算机网络相互连接成为计算机网络,而大写的表示为当经全球最大的特定的计算机网络,采用TCP/IP协议族作为通信协议。
数据库入门(一)范式理解:1nf,2nf,3nf,bcnf,4nf详析
05-27
数据库设计中的范式主要是为了规范化数据,减少数据冗余和数据异常,提高数据的一致性和完整性。常见的范式有1NF、2NF、3NF、BCNF、4NF等。 1NF(第一范式):数据表中的列都是不可分割的原子数据项。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值