在HTML5迅速崛起的同時(shí)���,我們也不得不認(rèn)識到HTML5給我們帶來的安全問題,而且是不容小覷的安全問題����。本文主要從劫持����、跨域請求、桌面通知����、地理定位、表單篡改這幾個(gè)方面來分析了HTML5中不容忽視的幾個(gè)安全“漏洞”�,開發(fā)者要時(shí)刻警惕。
“雖然�,HTML5對加強(qiáng)網(wǎng)站互動性的新功能有著一定的作用和貢獻(xiàn),但是對于不懷好意者����,HTML5的“漏洞”更容易成為他們的攻擊目標(biāo)���������!�
因此,本文會從五個(gè)方面介紹HTML5易被攻擊的方向���,希望廣大應(yīng)用開發(fā)者能夠在使用HTML5的同時(shí)注意這些“漏洞”并加以防范��。
1����、點(diǎn)擊劫持變的更加容易:點(diǎn)擊劫持本身不是種新的攻擊�����,這種攻擊的目的是竊取受害者的鼠標(biāo)按鈕點(diǎn)擊�����,然后將點(diǎn)擊定向到攻擊者所指定的其他頁面��。攻擊者的目的是讓用戶在不知情的情況下點(diǎn)擊隱藏的鏈接�����。目前,對于點(diǎn)擊劫持最好的服務(wù)器端防御措施之一是被稱為Framekilling的技術(shù)����。本質(zhì)上來說,受到影響的網(wǎng)站可以利用JavaScript來驗(yàn)證自己是否在一個(gè)iframe中運(yùn)行��,如果是的話�����,就拒絕顯示頁面內(nèi)容���。這種技術(shù)已經(jīng)被在用在Facebook、Gmail和其他一些網(wǎng)站中����。但是HTML5在iframe中增加了一個(gè)新的沙盒屬性,該屬性會讓網(wǎng)站停止執(zhí)行JavaScript腳本�����。在大多數(shù)情況 下���,這其實(shí)是比較安全的做法�,但也存在缺點(diǎn),就是會抵消目前對點(diǎn)擊劫持最好的防御措施���。
2�、利用跨域請求或WebSockets的端口掃描:有了HTML5���,瀏覽器現(xiàn)在可以連到任何IP地址或網(wǎng)站的(幾乎)任何端口��。雖然除非目標(biāo)網(wǎng)站有特別的允許����,不然并不能接收到來自任意端口連接的回應(yīng)��,但是研究人員表示���,這類請求所花的時(shí)間可以用來判斷目標(biāo)端口是打開的還是關(guān)閉的��。因此攻擊者就可以直接利用瀏覽器對受害者的內(nèi)部網(wǎng)絡(luò)進(jìn)行端口掃描��。
3����、利用桌面通知做社會工程學(xué)攻擊:HTML5有一個(gè)新功能——桌面通知。這些出現(xiàn)在瀏覽器之外的彈出窗口�,其實(shí)是可以用HTML程序代碼進(jìn)行定制的。雖然這種功能帶來了很不錯(cuò)的交互方式�,但也可能導(dǎo)致社會工程學(xué)攻擊,例如網(wǎng)絡(luò)釣魚或者假冒殺毒軟件等�����。
4���、利用地理定位追蹤受害者:地理定位是HTML5新功能中最受注目的一個(gè)����。因?yàn)榘踩碗[私的考慮��,網(wǎng)站必須先得到用戶的批準(zhǔn)�,隨后才能獲得位置訊息����。然而就和以前出現(xiàn)過的其他功能一樣,例如Vista的用戶帳戶控制����,Android的應(yīng)用程序權(quán)限�,還有無效的HTTPS憑證等�����,這些需要用戶作決定的安全措施幾乎沒有任何效果�����。而一旦有了授權(quán)���,網(wǎng)站不僅可以知道受害者的位置��,而且還可以在用戶移動時(shí)對其進(jìn)行實(shí)時(shí)追蹤��。
5���、表單篡改:另一個(gè)新功能讓攻擊者可以在被注入JavaScript的網(wǎng)站(例如XSS攻擊)中更改該網(wǎng)頁上的表單行為。舉例來說��,攻擊者可以改變一個(gè)網(wǎng)絡(luò)商店的正常行為�,不是將內(nèi)容送到購買或是登錄頁面,而是將用戶的身分認(rèn)證信息發(fā)送到攻擊者自己的網(wǎng)站�����。
以上5點(diǎn)HTML5漏洞對于開發(fā)者來說是比較致命的,所以我們在開發(fā)HTML5程序時(shí)要非常小心�����。盡管HTML5有這些安全問題��,但我堅(jiān)信HTML5依然是web的未來
域名注冊知識
虛擬主機(jī)知識
網(wǎng)站建設(shè)知識
網(wǎng)絡(luò)推廣知識
網(wǎng)絡(luò)營銷知識
常見技術(shù)問題
QQ空間
新浪微博
開心網(wǎng)
人人網(wǎng)
