html5 web storage攻击,HTML5安全风险之Web Storage攻击详解

最新推荐文章于 2021-06-21 17:52:14 发布
最新推荐文章于 2021-06-21 17:52:14 发布
阅读量154 收藏
点赞数
文章标签: html5 web storage攻击

一、WebStorage简介

HTML5支持WebStorage,开发者可以为应用创建本地存储,存储一些有用的信息。例如LocalStorage可以长期存储,而且存放空间很大,一般是5M,极大的解决了之前只能用Cookie来存储数据的容量小、存取不便、容易被清除的问题。这个功能为客户端提供了极大的灵活性。

二、攻击方式

LocalStorage的API都是通过Javascript提供的,这样攻击者可以通过XSS攻击窃取信息,例如用户token或者资料。攻击者可以用下面的脚本遍历本地存储。

4e125ef6784e59af0f2024675eda6f64.png

同时要提一句,LocalStorage并不是唯一暴露本地信息的方式。我们现在很多开发者有一个不好的习惯,为了方便,把很多关键信息放在全局变量里,例如用户名、密码、邮箱等等。数据不放在合适的作用域里会带来严重的安全问题,例如我们可以用下面的脚本遍历全局变量来获取信息。

6c62849a110faea5e606997a3d2cb763.png

三、攻击工具

HTML5dump的定义是“JavaScriptthat dump all HTML5 local storage”,它也能输出HTML5 SessionStorage、全局变量、LocalStorage和本地数据库存储。

b9d112cdfe6b60398967dc9758f06385.png

四、防御之道

对于WebStorage攻击的防御措施是:

1、数据放在合适的作用域里

例如用户sessionID就不要用LocalStorage存储,而需要放在sessionStorage里。而用户数据不要储存在全局变量里,而应该放在临时变量或者局部变量里。

2、不要存储敏感的信息

因为我们总也无法知道页面上是否会存在一些安全性的问题,一定不要将重要的数据存储在WebStorage里。

以上就是Web Storage攻击详细介绍,希望对大家学习Web Storage攻击有所帮助。

比鼻
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
HTML5本地存储之Web Storage详解
09-28
总的来说,HTML5Web Storage为开发者提供了更高效、安全的本地数据存储方式。无论是用于临时存储用户状态,还是长期保存用户配置,Web Storage都是现代Web应用不可或缺的一部分。由于其广泛支持和强大功能,Web ...
tryhackme之Walking An Application(web应用攻击初步探查
qq_43200143的博客
08-15 553
Application应用详解 View Source - Use your browser to view the human-readable source code of a website. Inspector - Learn how to inspect page elements and make changes to view usually blocked content. Debugger - Inspect and control the flow of a page’s JavaSc
HTML5 App的代码注入攻击
aezwm4109的博客
08-24 345
原文链接 摘要 基于HTML5的手机app(译者注:以下简称HTML5 app)越来越流行了, 在大多数情况下它比native应用更容易适配不同的移动操作系统。它开发起来很方便,可以使用标准的web技术,包括HTML5、JavaScript 和 CSS,也可以借助一些现有的开发框架(比如PhoneGap)和手机操作系统进行交互。 众所周知,JavaScript是非常容易遭受代码注...
html5 web storage攻击,HTML5安全风险详析之二:Web Storage攻击
weixin_36151066的博客
06-21 200
**一、WebStorage简介**HTML5支持WebStorage,开发者可以为应用创建本地存储,存储一些有用的信息。例如LocalStorage可以长期存储,而且存放空间很大,一般是5M,极大的解决了之前只能用Cookie来存储数据的容量小、存取不便、容易被清除的问题。这个功能为客户端提供了极大的灵活性。**二、攻击方式**LocalStorage的API都是通过Javascript提供的,...
HTML5安全风险详析之二:Web Storage攻击
蒋宇捷的专栏
09-09 8983
一、WebStorage简介        HTML5支持WebStorage,开发者可以为应用创建本地存储,存储一些有用的信息。例如LocalStorage可以长期存储,而且存放空间很大,一般是5M,极大的解决了之前只能用Cookie来存储数据的容量小、存取不便、容易被清除的问题。这个功能为客户端提供了极大的灵活性。二、攻击方式        LocalStorage的API都是通过Javasc
HTML5 本地存储 localstorage 安全分析
Delion
07-11 2万+
HTML5本地存储出现以前,WEB数据存储的方法已经有很多,比如HTTP Cookie,IE userData,Flash Cookie,Google Gears。其实再说细点,浏览WEB的历史记录也算是本地存储的一种方式。到目前为止,HTML5本地存储方式已经获得了广泛的支持,其中支持的浏览器包括:IE 8+、FF 3.5+、Safari 4+、Chrome 4+、Opera 10.5+,手机
详解H5本地储存Web Storage
09-28
详解H5本地储存Web Storage】 一、本地存储的由来背景 在HTML4时代,网站如果想要在用户浏览器端存储信息,主要依赖于Cookie。然而,Cookie存在一些明显的限制,如大小不超过4096字节,浏览器对每个站点存储的...
web前端工程-html5详解.docx
最新发布
10-12
Web 前端工程 - HTML5 详解 HTML5 是当前 Web 开发的潮流技术之一,它是一种标记语言, used to create structured documents on the web. 作为一名前端工程师,掌握 HTML5 是非常必要的。下面我们将详细介绍 ...
HTMl5的存储方式sessionStorage和localStorage详解
09-28
HTML5Web Storage引入了两种新的本地数据存储方式:`sessionStorage`和`localStorage`,它们解决了传统Cookie在存储容量和性能上的限制,为Web应用提供了更高效的数据管理能力。 `sessionStorage`主要用于存储...
LocalStorage 的一个漏洞
热门推荐
龙哥盟
02-19 4万+
LocalStoragehtml5 的本地存储,其中的内容以文件的形式保存在本地磁盘中。一个域(协议+域名+端口)的文件大小PC端为5~10M,移动端不大于2.5M。但是我们可以在端口上做点手脚,因为端口是可控的,我们可以开一个服务器监听很多个端口,然后输出的页面使用iframe进行递归包含。比如我们的页面可以嵌入以下代码:(function(){     var maxPort = ...;
LocalStorage漏洞分析
黑白照
05-23 2353
之前LocalStorage爆出过一个漏洞,使用Chrome打开这个网站:http://filldisk.com,会将磁盘空间给撑爆,而且Chrome还会Crash。除了FireFox之外,其他浏览器无一例外中招。以下分析一下这个网站所使用的这个漏洞。 其实这个漏洞的作者在他的博客中也做了详细的说明了,想了解的可以看这里:http://feross.org/fill-disk/ 规范(http
十大Web应用漏洞清单,XSS排名第一
hideto
10-22 619
owasp.org列出[url=https://www.owasp.org/index.php/Top_10_2007]十大Web应用漏洞清单[/url]: 1, Cross Site Scripting(XSS) 2, Injection Flaws 3, Malicious File Execution 4, Insecure Direct Object Reference 5, C...
html5 新标签xss,HTML5 localStorageXSS漏洞
weixin_30054007的博客
06-16 392
localStorage基础WindowlocalStorage属性HTML5 提供了两种新的本地存储方案,sessionStorage和localStorage,统称WebStorage。顾名思义:sessionStorage 是针对session的数据存储,关闭窗口后删除。localStorage 是一个本地的没有时间限制的数据存储。它们同样遵循SOP语法:window.localStor...
cookie、xss攻击WebStorage
tx_blogs的博客
08-06 190
cookie cookie的定义 cookie实际上就是一些信息,这些信息以文件的形式存储在客户端计算机上。当用户访问了某个网站,可以通过cookie向访问者电脑上存储数据 cookie就是页面用来保存信息,比如自动登录,用户名 cookie作用 cookie的主要作用是保存信息,并与服务器互动,因此在很多情况下都可以使用到cookie。 密码 cookie:访当问者首次访问页面时,也许会填写密码。密码也可被存储于 cookie 中。当他们再次访问网站时,密码就会从 cookie 中取回
WebStorage 和 Cookie的区别
吴孔云的博客
05-19 6633
sessionStorage 和 localStorageHTML5 Web Storage API 提供的,可以方便的在web请求之间保存数据。有了本地数据,就可以避免数据在浏览器和服务器间不必要地来回传递。 cookiecookie在浏览器和服务器间来回传递,主要应用场景: 保持登录 保持上次查看的页面 浏览计数 广告追踪 购物车的状态保持 Cookies是如何起效的? 当浏览器从web
HTML5 localStorageXSS漏洞
笑花大王
02-13 1158
localStorage基础 WindowlocalStorage属性 HTML5 提供了两种新的本地存储方案,sessionStorage和localStorage,统称WebStorage。 顾名思义: sessionStorage 是针对session的数据存储,关闭窗口后删除。 localStorage 是一个本地的没有时间限制的数据存储。 它们同样遵循SOP 语法: wi...
HTML5代替Cookie? HTML5本地存储安全
精彩人生
03-13 608
HTML5本地存储出现以前,WEB数据存储的方法已经有很多,比如HTTP Cookie,IE userData,Flash Cookie,Google Gears。其实再说细点,浏览WEB的历史记录也算是本地存储的一种方式。到目前位置,HTML5本地存储方式已经获得了广泛的支持,其中支持的浏览器包括:IE 8+、FF 3.5+、Safari 4+、Chrome 4+、Opera 10.5+,手机
常见WEB漏洞:HTML5安全与防御
weixin_30333885的博客
05-13 490
  常见WEB漏洞:HTML5安全与防御   1、HTML5概述   HTML5 是定义 HTML 标准的最新的版本,5的原因是它是HTML的第五次重大修改,标准于14年10月29日完成。作为HTML的升级版,它有更大的技术集,引入了新的标签、属性、方法和功能等,允许更多样化和强大的网站和应用程序。   比如说新增了<section>, <article>, <...
HTML5入门详解:新时代的Web技术
HTML5的其他特性还包括离线存储(Offline Storage)、拖放功能(Drag and Drop)、新的表单元素(例如`<input type="date">`)、地理定位(Geolocation API)以及Web Workers和Web Storage等,这些都极大地增强了...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值