界面操作劫持与HTML5安全
导读:本文共2486字符,通常情况下阅读需要8分钟。同时您也可以点击右侧朗读,来听本文内容。按键盘←(左) →(右) 方向键可以翻页。
摘要:一、界面操作劫持1)ClickJackingClickJacking点击劫持,这是一种视觉上的欺骗。***者使用一个透明的、不可见的iframe,覆盖在网页的某个位置上,诱使用户点击iframe。2)TapJacking现在移动设备的使用率越来越高,针对移动设备的特点,衍生出了TapJacking(触屏劫持)。手机上的屏幕范围有限,手机浏览器为了节约空间,可以隐藏地址栏,手机上的视觉欺骗会更加容易... ...
目录
(为您整理了一些要点),点击可以直达。一、界面操作劫持
1)ClickJacking
ClickJacking点击劫持,这是一种视觉上的欺骗。
***者使用一个透明的、不可见的iframe,覆盖在网页的某个位置上,诱使用户点击iframe。
2)TapJacking
现在移动设备的使用率越来越高,针对移动设备的特点,衍生出了TapJacking(触屏劫持)。
手机上的屏幕范围有限,手机浏览器为了节约空间,可以隐藏地址栏,手机上的视觉欺骗会更加容易实施。
1. 第一张中最上方显示了浏览器地址栏,同时***者在页面中画出了一个假的地址栏;
2. 第二张中真实的浏览器地址栏已经自动隐藏了,此时页面中只剩下假的地址栏;
3. 第三张中是浏览器地址栏被正常隐藏的情况。
这种针对视觉效果的***可以被利用进行钓鱼和欺诈。
3)X-Frame-Options
针对传统的界面劫持,通过禁止iframe来防范。
HTTP头中有一个响应头X-Frame-Options,有三个值可以选择:
1. DENY:该页面不允许加载任何 iframe页面。
2. SAMEORIGIN:该页面可以加载相同域名的iframe页面。
3. ALLOW-FROM uri:该页面可以加载指定来源的iframe页面。
二、HTML5安全
HTML5中新增的一些标签和属性,使得XSS等Web***产生了新的变化,在HTML5 Security Cheatsheet中总结了这些变化。
1)隐藏URL恶意代码
反射型XSS中,会将恶意代码写在URL参数中,这样的话,新航道托福用户也能看到恶意代码,例如下面的链接:
http://www.csrf.net/csrf.html?id=<script>111</script>
可以通过window.history来操作浏览器的历史记录。
pushState()有三个参数:状态对象、标题,可选的URL地址。
history.pushState({},"",location.href.split('?').shift());执行上面那段代码后就会将参数隐藏。
新的URL地址就是下面这个:
“pushState”还可以伪造浏览器历史记录。
for(i=0;i<10;i++)history.pushState({},"","/"+i+".html");
2)HTML5下的僵尸网络
僵尸网络(Botnet)是指在大量的计算机中植入特定的恶意程序,使控制者能够通过若干计算机直接向其他计算机发送指令,进行网络***。
基于Web前端的僵尸网络可以用作DDOS***,这里涉及Web Worker技术和CORS处理机制,再通过Web蠕虫传播。
Web Worker是一种多线程机制,可以异步执行恶意JS代码,而不影响用户在浏览器中的正常操作。
CORS处理机制工作在浏览器层面,如果服务器不允许跨站,浏览器将拦截服务器返回的结果,也就是说跨域请求,服务器也会正常响应。
那么就可以事先写好一段异步请求的脚本(worker.js),然后通过Web Worker来执行这段脚本,不断的向目标服务器发起请求。
varworker_loc='worker.js';//封装了ajax请求的脚本vartarget='http://news.qq.com/photo.shtml';//要***的网址//可实例化多个WebWorkervarworkers=[];for(i=0;i<1;i++){workers[i]=newWorker(worker_loc);workers[i].postMessage(target);//跨域消息传递}
界面操作劫持与HTML5安全的详细内容,希望对您有所帮助,信息来源于网络。