HTML安全風險詳析之:WebStorage攻擊_第1頁
HTML安全風險詳析之:WebStorage攻擊_第2頁
HTML安全風險詳析之:WebStorage攻擊_第3頁
HTML安全風險詳析之:WebStorage攻擊_第4頁
免費預覽已結束,剩余1頁可下載查看

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

1、個人收集整理勿做商業(yè)用途封面?zhèn)€人收集整理勿做商業(yè)用途作者: Pan Hongliang僅供個人學習HTML5 安全風險詳析之二:Web Storage攻擊整理自:超級P57 官方網(wǎng)站個人收集整理勿做商業(yè)用途一、 WebStorage簡介HTML5 支持 WebStorage ,開發(fā)者可以為應用創(chuàng)建本地存儲,存儲一些有用的信息。例如LocalStorage可以長期存儲,而且存放空間很大,一般是5M ,極大的解決了之前只能用Cookie 來存儲數(shù)據(jù)的容量小、存取不便、容易被清除的問題。這個功能為客戶端提供了極大的靈活性。二、攻擊方式LocalStorage的 API 都是通過 Javascript

2、提供的,這樣攻擊者可以通過XSS 攻擊竊取信息,例如用戶token 或者資料。攻擊者可以用下面的腳本遍歷本地存儲。htmlview plaincopyprint?1. if(localStorage.length)2. for(I in localStorage) 3. console.log(i);4. console.log(localStorage.getItem(i);5. 6. 同時要提一句,LocalStorage并不是唯一暴露本地信息的方式。我們現(xiàn)在很多開發(fā)者有一個不好的習慣, 為了方便, 把很多關鍵信息放在全局變量里,例如用戶名、 密碼、郵箱等等。數(shù)據(jù)不放在合適的作用域里會帶來

3、嚴重的安全問題,例如我們可以用下面的腳本遍歷全局變量來獲取信息。htmlview plaincopyprint?1. for(iin window) 2. obj =window i;3. if(obj!=null|obj!=undefined)4.vartype = typeof(obj);5.if(type ="object"|type ="string") 6.console.log(“ Name: ” +i);7. try 8. my = JSON.stringify(obj);9. console.log(my);10. catch(ex) 個

4、人收集整理勿做商業(yè)用途11. 12. 三、攻擊工具HTML5dump的定義是 “ JavaScriptthat dump all HTML5 local storage,它也能”輸出HTML5SessionStorage、全局變量、 LocalStorage和本地數(shù)據(jù)庫存儲。四、防御之道對于 WebStorage攻擊的防御措施是:1、數(shù)據(jù)放在合適的作用域里例如用戶sessionID就不要用 LocalStorage存儲,而需要放在sessionStorage里。而用戶數(shù)據(jù)不要儲存在全局變量里,而應該放在臨時變量或者局部變量里。2、不要存儲敏感的信息因為我們總也無法知道頁面上是否會存在一些安全性

5、的問題,一定不要將重要的數(shù)據(jù)存儲在WebStorage里。來自蔣宇捷的博客個人收集整理勿做商業(yè)用途版權申明本文部分內容,包括文字、圖片、以及設計等在網(wǎng)上搜集整理。版權為潘宏亮個人所有This articleincludessome parts,includingtext,pictures,and design. Copyright is Pan Hongliang's personal ownership.用戶可將本文的內容或服務用于個人學習、研究或欣賞,以及其他非商業(yè)性或非盈利性用途, 但同時應遵守著作權法及其他相關法律的規(guī)定,不得侵犯本網(wǎng)站及相關權利人的合法權利。除此以外,將本文任

6、何內容或服務用于其他用途時,須征得本人及相關權利人的書面許可,并支付報酬。Users may use the contents or services of this article for personal study, research or appreciation, and other non-commercial or non-profit purposes, but at the same time, they shall abide by the provisions of copyright law and other relevant laws, and shall not

7、infringe upon the legitimaterights of this website and its relevant obligees. In addition, when any content or service of this article is used for other purposes, written permission and remuneration shall be obtained from the person concerned and the relevant obligee.個人收集整理勿做商業(yè)用途轉載或引用本文內容必須是以新聞性或資料性公共免費信息為使用目的的合理、善意引用,不得對本文內容原意進行曲解、修改,并自負版權等法律責任。Reproduction or quotation of the content of this articlemust be reasonable and good-faith citation for the use of news or informative public free information. It shall notmisin

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論