欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

HTML5安全風(fēng)險(xiǎn)之API攻擊詳解

  發(fā)布時(shí)間:2015-09-26 10:24:29   作者:佚名   我要評論
HTML5里有許多協(xié)議、模式和API,可能成為攻擊者的攻擊途徑,需要了解這方面內(nèi)容的朋友可以參考一下這篇文章。

HTML5里有許多協(xié)議、模式和API,可能成為攻擊者的攻擊途徑。

一、registerProtocolHandler:信息泄漏

HTML5允許某些協(xié)議和schema注冊為新的特性。例如下面的語句可以注冊一個(gè)email handler。

它會(huì)將一個(gè)惡意網(wǎng)站處理器關(guān)聯(lián)到mailto這個(gè)協(xié)議上,所以它在某些情況下的濫用會(huì)導(dǎo)致用戶信息泄漏。

二、文件API:竊取文件

HTML5另外一些API從安全角度來看很有意思,它們還能混合起來使用。

例如文件API允許瀏覽器訪問本地文件,攻擊者可以將它與點(diǎn)擊劫持和其他攻擊混合起來獲得用戶本地的文件。比如騙取你從本地拖放文件到頁面里,這種方法在劫持攻擊一文中有較詳細(xì)的闡述。

三、歷史API:隱藏XSS URL

利用HTML5歷史API的pushState,可以隱藏瀏覽器地址欄的攻擊URL。例如我在瀏覽器地址欄輸入

這個(gè)地址,用戶將會(huì)僅僅只看到http://test.baidu.com/。

這個(gè)問題和現(xiàn)在流行的短網(wǎng)址技術(shù)結(jié)合起來,具有更大的隱蔽性。想象一下我們在微博上看到一個(gè)短網(wǎng)址,不會(huì)有任何懷疑就會(huì)點(diǎn)擊這個(gè)地址查看內(nèi)容,而最后看到的地址也是相當(dāng)正常的,但是在這個(gè)過程中用戶的信息和資料就不知不覺被盜取了。

短URL結(jié)合歷史API的攻擊

四、Web Notifications:盜取數(shù)據(jù)

Web Notifications讓我們在瀏覽器中能夠接收推送的消息通知,但是它有可能會(huì)被攻擊者利用來構(gòu)造虛假信息,騙取用戶數(shù)據(jù)。

例如下圖里右下角的彈窗通知看起來非常正常,需要我們輸入Gmail密碼來登錄查看新郵件。但是一旦輸入密碼,Gmail郵箱就被盜取了。我們可以仔細(xì)看看,彈窗左上角顯示的域名是gmai1.com!這正是一個(gè)釣魚網(wǎng)站的欺詐手段。

桌面通知攻擊

最后,隨著HTML5的發(fā)展,未來還可能出現(xiàn)新的HTML5安全問題,還可能還會(huì)向著復(fù)雜化和智能化去發(fā)展。

以上就是關(guān)于API攻擊的詳細(xì)介紹,希望對大家的學(xué)習(xí)有所幫助。

相關(guān)文章

最新評論