HTML5安全风险详析之二:Web Storage攻击

最新推荐文章于 2022-03-10 23:06:50 发布
最新推荐文章于 2022-03-10 23:06:50 发布
阅读量641 收藏
点赞数
分类专栏: 客户端技术 文章标签: html5 web 存储 javascript 脚本 html

一、WebStorage简介

        HTML5支持WebStorage,开发者可以为应用创建本地存储,存储一些有用的信息。例如LocalStorage可以长期存储,而且存放空间很大,一般是5M,极大的解决了之前只能用Cookie来存储数据的容量小、存取不便、容易被清除的问题。这个功能为客户端提供了极大的灵活性。

二、攻击方式

        LocalStorage的API都是通过Javascript提供的,这样攻击者可以通过XSS攻击窃取信息,例如用户token或者资料。攻击者可以用下面的脚本遍历本地存储。

[html]  view plain copy
  1. if(localStorage.length){  
  2.          for(I in localStorage) {  
  3.                    console.log(i);  
  4.                    console.log(localStorage.getItem(i));  
  5.          }  
  6. }  
        同时要提一句,LocalStorage并不是唯一暴露本地信息的方式。我们现在很多开发者有一个不好的习惯,为了方便,把很多关键信息放在全局变量里,例如用户名、密码、邮箱等等。数据不放在合适的作用域里会带来严重的安全问题,例如我们可以用下面的脚本遍历全局变量来获取信息。

[html]  view plain copy
  1. for(iin window) {  
  2.          obj=window[i];  
  3.          if(obj!=null||obj!=undefined)  
  4.              var type =typeof(obj);  
  5.          if(type=="object"||type=="string") {  
  6.              console.log(“Name:”+i);  
  7.              try {  
  8.                  my = JSON.stringify(obj);  
  9.                  console.log(my);  
  10.              } catch(ex) {}  
  11.          }  
  12. }  
三、攻击工具

        HTML5dump的定义是“JavaScriptthat dump all HTML5 local storage”,它也能输出HTML5 SessionStorage、全局变量、LocalStorage和本地数据库存储。


四、防御之道

        对于WebStorage攻击的防御措施是:

        1、数据放在合适的作用域里

        例如用户sessionID就不要用LocalStorage存储,而需要放在sessionStorage里。而用户数据不要储存在全局变量里,而应该放在临时变量或者局部变量里。

        2、不要存储敏感的信息

        因为我们总也无法知道页面上是否会存在一些安全性的问题,一定不要将重要的数据存储在WebStorage里。

      原创文章,转载请注明:来自蒋宇捷的博客

cnstartech
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
一款App等保的预检测工具--ApplicationScanner
LYX_WIN
12-28 5194
一、关于ApplicationScanner ApplicationScanner是一个快速稳定的App代码扫描工具,该工具基于Python3.7实现其主要功能,apk检测部分需要JDK 11的支持,因此具备较好的跨平台特性,目前支持在Linux和Mac系统上使用,暂不支持Windows。 二、功能介绍 _____ /\ / ____|
cookie、sessionStorage,localStorage区别
热门推荐
weixin_42246997的博客
10-29 4万+
题外话:Linux下打包文件夹:tar cvzf 文件夹名.tar.gz * HTML5 Web 存储(localStorage和sessionStorage) 本文链接:HTML5 Web 存储(localStorage和sessionStorage)_sleepwalker_1992的专栏-CSDN博客 HTML5 Web 存储webStorage)是本地存储存储在客户端,包括localStorage和sessionStorageHTML5 Web 存储是以键/值对的形式存储的,通常以字符串
安全与协议】cookies、session、sessionStorage和localStorage 全面分析对比
Umbrella_Um的博客
09-29 2494
浏览器查看储存的数据 HTML4的本地存储 cookie 浏览器的缓存机制提供了可以将用户数据存储在客户端上的方式,可以利用cookie,session等跟服务端进行数据交互。 一、cookie和session cookie和session都是用来跟踪浏览器用户身份的会话方式。 区别: 保持状态:cookie保存在浏览器端,session保存在服务器端 使用方式: ① cookie机制...
浏览器】Cookie、WebStorage
南栀的博客
03-10 527
文章目录CookieWebStorage本地存储sessionStoragelocalStoragesessionStorage和localStorage对比 浏览器的缓存机制提供了可以将用户数据存储在客户端上的方式,可以利用cookie,session等跟服务端进行数据交互。 Cookie HTTP Cookie简称cookie,在HTTP请求发送Set-Cookie HTTP头作为响应的一部分。通过name=value的形式存储。 cookie的构成: 名称:name(不区分大小写,但最好认为它是
HTML5 - Web存储(Web Storage)
王佳斌
09-06 1600
前言 在HTML4时代,本地存储基本使用cookie,用 document.cookie 来存储。但其存储大小只有4KB左右,解析也很复杂,不仅不利于开发者,更不利于浏览器。但现在HTML5的出现,弥补了 cookie 的不足,而且开发起来也相当方便快捷。 今天,我们可以使用HTML5在本地存储用户的浏览数据,H5 web存储更加的安全与快速,这些数据不会被保存在服务器(开发者不必担心占用空间),...
HTML5安全风险详析之四:Web Worker攻击
蒋宇捷的专栏
10-23 1万+
一、WebWorker介绍        由于Javascript是单线程执行的,在执行过程中浏览器不能执行其它Javascript脚本,UI渲染线程也会被挂起,从而导致浏览器进入僵死状态。使用WebWorker可以将计算过程放入一个新线程里去执行将避免这种情况的出现。这样我们可以同时执行多个JS任务而不会阻塞浏览器,非常适合异步交互和大规模计算,这在以前是很难做到的。        下面一张图形
HTML5安全风险详析
03-01
它是一个妥协,有更大的灵活性,但比起简单地允许所有这些的要求来说更加安全。简言之,CORS就是为了让AJAX可以实现可控的跨域访问而生的。SOP就是SameOriginPolicy同源策略,指一个域的文档或脚本,不能获取或修改...
信号路径的每一环节:剖视及详析
12-13
在设计高速混合信号系统时,理解并优化信号路径的每一环节至关重要。这涉及到对信号从源头到最终处理的每一个组件的深入分析,以确保在整个路径中信号的质量和完整性得到最大程度的保留。本文主要关注输入或接收器...
HTML5 WebStorage
yuanyuanispeak的专栏
05-22 399
HTML5 WebStorage WebStorageHTML5中本地存储的解决方案之一,在HTML5WebStorage概念引入之前除去IE User Data、Flash Cookie、Google Gears等看名字就不靠谱的解决方案,浏览器兼容的本地存储方案只有使用cookie。有同学可能会问,既然有了cookie本地存储,为什么还要引入WebStorage的概念
注意啦!Web Storage的用法都在这里了
张培跃的个人博客
06-05 2311
Web StorageHTML5中新增的除Canvas元素以外,非常非常重要的功能!没有之一!顾名思义,其就是在Web存储数据的功能,当然这里的存储只是针对客户端本地而言的。 Web Storage的优缺点: 优点: 存储空间更大。在IE下每个独立存储空间为10M,其它浏览器存储空间略有不同,但可以肯定的是至少要比cookie要大很多。 存储内容不会与服务器发生任何交互...
Android数据及编码安全几点常用操作
Android 值得拥有
01-05 389
app常用的一些设置里就包含了涉及到数据及源码安全的地方,下面我们来看看最常用的几点: 1、allowBackup数据备份泄露 manifest文件中在application节点下有个属性是allowBackup,这个估计大家对它很面熟,具体的作用就是是否允许为其app数据做备份,如果设置为true并且本地数据没有任何加密,那就会有暴露的风险,一般情况下最好设置为false; 2、Broadcast Receiver广播组件导出风险 Broadcast Receiver作为组成Apk的四个组件之一,
html5 web storage攻击,HTML5安全风险详析之二Web Storage攻击
weixin_36151066的博客
06-21 200
**一、WebStorage简介**HTML5支持WebStorage,开发者可以为应用创建本地存储存储一些有用的信息。例如LocalStorage可以长期存储,而且存放空间很大,一般是5M,极大的解决了之前只能用Cookie来存储数据的容量小、存取不便、容易被清除的问题。这个功能为客户端提供了极大的灵活性。**二、攻击方式**LocalStorage的API都是通过Javascript提供的,...
信息安全之7大不可忽视的数据泄露风险
weixin_34008784的博客
08-29 1061
信息安全之:7大不可忽视的数据外泄风险 原文来自CIO网站文章:Information Security: 7 Data Leaks You Can't Ignore 对所有财务机构来说,信息安全控制是日常运营中不可缺少的部分。当地信贷互助会的成员们期望他们的信息安全与在同一商场停车场且相隔几百英尺的大银行一样安全。唯一的区别是当地信贷互助会用于信息安全的预算同大银行数...
登录时,记住用户名和密码的功能——HTML5 WEB存储(localStorage
liayn523的博客
12-22 3万+
前言 想要实现登录一次,下次再进登录页面,直接出现上次登录的用户名和密码。 运用的知识点 一、localStorage、sessionStorage?     localStorage - 没有时间限制的数据存储     sessionStorage - 针对一个 session 的数据存储 之前,这些都是由 cookie 完成的。但是 co
如果一个用户的 token 被其他用户劫持了,怎样解决这个安全问题
Askrc
02-23 2万+
a、在存储的时候把 token 进行对称加密存储,用时解开。 b、将请求 URL、时间戳、token 三者进行合并加盐签名,服务端校验有效性。c.HTTPS 对 URL 进行
localStorage数据丢失
xiaojuge的博客
06-21 4702
新手入门html5错误 新手入门html5,今天写前端,将后台返回的token 存到了 windows.localStorage 跳转新的页面后token不见了。 查了半天原来是跳转页面使用 windows.location=“http://localhost:port/**/*.html” 将路径中的"http://localhost:port" 去掉后就不会丢失了。 因为加了浏览器默认要刷新浏览器的,一刷新就丢了。 ...
详说 Cookie, LocalStorage 与 SessionStorage
weixin_34221073的博客
05-02 1738
本文最初发布于我的个人博客:咀嚼之味 最近在找暑期实习,其中百度、网易游戏、阿里的面试都问到一些关于HTML5的东西,问题大多是这样开头的:“你用过什么HTML5的技术呀?” 而后,每次都能扯到 Cookie 和 localStorage 有啥差别。这篇文章就旨在详细地阐述这部分内容,而具体 Web Storage API 的使...
html5 web storage攻击,HTML5安全风险Web Storage攻击详解
weixin_34170139的博客
06-21 154
一、WebStorage简介HTML5支持WebStorage,开发者可以为应用创建本地存储存储一些有用的信息。例如LocalStorage可以长期存储,而且存放空间很大,一般是5M,极大的解决了之前只能用Cookie来存储数据的容量小、存取不便、容易被清除的问题。这个功能为客户端提供了极大的灵活性。二、攻击方式LocalStorage的API都是通过Javascript提供的,这样攻击者可以通...
授客详析WEB安全测试关键点与流程
《授客WEB安全测试手册》是一份全面指导网络安全评估的专业指南,由作者授客通过QQ:1033553122提供,旨在帮助读者理解和执行针对Web应用程序的安全测试。手册主要涵盖了六个关键部分: 1. 概述: - 安全测试的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值