本文我們要講到一類的html5安全問題,也就是劫持的問題。
下面我們要講到一類的html5安全問題,也就是劫持的問題。
一、clickjacking-點選劫持
這種攻擊方式正變得越來越普遍。被攻擊的頁面作為iframe,用mask的方式設定為透明放在上層,惡意**偷偷地放在後面的頁面中,使得乙個頁面看起來似乎是安全的,然後誘騙使用者點選網頁上的內容,達到竊取使用者資訊或者劫持使用者操作的目的。下圖中,欺詐的頁面放置在下層,被攻擊的銀行頁面作為透明的層放置在上層,使用者看到的是欺詐頁面上顯示的資訊並進行輸入和點選,但是真正的使用者行為是發生在銀行頁面上的。
想象一下,點選劫持可以誘使你發布一條虛假微博、或者傳送一封虛假郵件甚至盜取你的個人資訊。例如下圖可以誘使我們發布一條虛假的twitter訊息。
這裡有乙個測試工具clickjacktest可以檢測你的頁面是否有點選劫持的風險,你可以輸入乙個**並點選test,如果頁面可以正常顯示並載入,那麼表示這個頁面存在被點選劫持攻擊的風險,如果頁面顯示為一片空白,那麼表示頁面比較安全。
二、cookiejacking-cookie劫持
clickjacking只涉及點選操作,但是html5的拖放api使得這種攻擊擴大到拖放操作。因為現在web應用裡,有大量需要使用者拖放完成的操作。在同源策略裡,乙個域的cookie只能被本域所訪問,但是拖放操作是不受同源策略限制的,這樣利用拖放操作、xss和其他技巧,可以構造跨域合法請求,劫持cookie。
把cookie從乙個域拖拽到另外乙個域裡
實現原理其實和clickjacking類似,只要欺騙使用者進行拖放行為,就可以把使用者某個域的資訊傳送到另外乙個域裡。這個其實很容易做到,之前有乙個研究者就在facebook上建立了乙個應用,這個應用的功能是讓使用者把上美女的衣服拖拽下來。我想可能大多數人都會去嘗試而且不會有警惕心理。
乙個誘騙拖放的小遊戲
我們應當如何防止clickjacking、cookiejacking呢?
1、x-frame-options:所有的現代瀏覽器都支援x-frame-options http頭,這個頭允許頁面被iframe使用時是否正常渲染。下圖中的頁面就是當x-frame-options生效時的效果。
2、j**ascript方式
這種方式非常常見,具體**就是:
01.if (top !==window)
02. top.location = window.location.href;
facebook和twitter都使用了這種方式,但是這種方式並不是完全奏效的,例如攻擊者可以使用204轉向或者禁用j**ascript的方式來繞過(例如iframe沙箱)。
三、corjacking-跨域資源劫持
01.
02.
03.
04.
05.object>
當頁面存在xss漏洞時,攻擊者可以利用如下指令碼把swf檔案替換為欺詐的虛假資源。
document.getelementbyname(『login』).item(0).src=『
那麼當使用者在這樣的登入框裡輸入自己的使用者名稱和密碼並登入時,他的帳號就已經被盜取了。
這個問題在不同瀏覽器裡面表現是不一致的,有興趣的朋友可以下去自行測試。
關注HTML5安全
在今天的2012中國軟體開發者大會上,我做了名為 關注html5安全 的主題演講。我個人認為,隨著html5的普及和發展,html5的安全會成為近期帶來的嚴重問題。之所以大家還沒有感受到的原因是什麼?1 目前html5應用還不普及 2 暫時還沒有吸引攻擊者的關注。演講摘要如下 來自csdn專題 我曾...
HTML5學習之 HTML 5 拖放
拖放 drag 和 drop 是 html5 標準的組成部分。拖放是一種常見的特性,即抓取物件以後拖到另乙個位置。在 html5 中,拖放是標準的一部分,任何元素都能夠拖放。internet explorer 9 firefox opera 12 chrome 以及 safari 5 支援拖放。注釋...
HTML5之lang屬性與dir屬性的詳解
1 lang屬性用於指定元素的屬性值以及元素的內容文字所用的基準語言,預設值未知,但是,是否適用與屬性程式設計客棧,還要取決於語法和屬性的語義,以及捲入的操作 使用者瀏覽器在呈現html文件時,該屬性的益處有以下幾點 1 協助搜尋引擎 2 協助語音合程式設計客棧成 3 協助選擇符號異體字用於高品質的...