HTML5Web Storage攻擊安全風(fēng)險(xiǎn)詳解
HTML5支持WebStorage,開(kāi)發(fā)者可以為應(yīng)用創(chuàng)建本地存儲(chǔ),存儲(chǔ)一些有用的信息。例如LocalStorage可以長(zhǎng)期存儲(chǔ),而且存放空間很大,一般是5M,極大的解決了之前只能用Cookie來(lái)存儲(chǔ)數(shù)據(jù)的容量小、存取不便、容易被清除的問(wèn)題。這個(gè)功能為客戶(hù)端提供了極大的靈活性。下面跟小編一起來(lái)了解一下吧!
一、WebStorage簡(jiǎn)介
HTML5支持WebStorage,開(kāi)發(fā)者可以為應(yīng)用創(chuàng)建本地存儲(chǔ),存儲(chǔ)一些有用的信息。例如LocalStorage可以長(zhǎng)期存儲(chǔ),而且存放空間很大,一般是5M,極大的解決了之前只能用Cookie來(lái)存儲(chǔ)數(shù)據(jù)的容量小、存取不便、容易被清除的問(wèn)題。這個(gè)功能為客戶(hù)端提供了極大的靈活性。
二、攻擊方式
LocalStorage的API都是通過(guò)Javascript提供的.,這樣攻擊者可以通過(guò)XSS攻擊竊取信息,例如用戶(hù)token或者資料。攻擊者可以用下面的腳本遍歷本地存儲(chǔ)。
同時(shí)要提一句,LocalStorage并不是唯一暴露本地信息的方式。我們現(xiàn)在很多開(kāi)發(fā)者有一個(gè)不好的習(xí)慣,為了方便,把很多關(guān)鍵信息放在全局變量里,例如用戶(hù)名、密碼、郵箱等等。數(shù)據(jù)不放在合適的作用域里會(huì)帶來(lái)嚴(yán)重的安全問(wèn)題,例如我們可以用下面的腳本遍歷全局變量來(lái)獲取信息。
三、攻擊工具
HTML5dump的定義是“JavaScriptthat dump all HTML5 local storage”,它也能輸出HTML5 SessionStorage、全局變量、LocalStorage和本地?cái)?shù)據(jù)庫(kù)存儲(chǔ)。
四、防御之道
對(duì)于WebStorage攻擊的防御措施是:
1、數(shù)據(jù)放在合適的作用域里
例如用戶(hù)sessionID就不要用LocalStorage存儲(chǔ),而需要放在sessionStorage里。而用戶(hù)數(shù)據(jù)不要儲(chǔ)存在全局變量里,而應(yīng)該放在臨時(shí)變量或者局部變量里。
2、不要存儲(chǔ)敏感的信息
因?yàn)槲覀兛傄矡o(wú)法知道頁(yè)面上是否會(huì)存在一些安全性的問(wèn)題,一定不要將重要的數(shù)據(jù)存儲(chǔ)在WebStorage里。
【HTML5Web Storage攻擊安全風(fēng)險(xiǎn)詳解】相關(guān)文章:
HTML5Web Worker攻擊安全風(fēng)險(xiǎn)詳解08-30
HTML5API攻擊安全風(fēng)險(xiǎn)詳解08-26
HTML5劫持攻擊安全風(fēng)險(xiǎn)詳解08-28
HTML5安全風(fēng)險(xiǎn)之WebSQL攻擊詳解08-04
詳解DDoS攻擊原理的目標(biāo)導(dǎo)向02-14
安全設(shè)置有效防止黑客攻擊07-15