HTML5风险TOP10

2012-08-29 100704人围观 ,发现 3 个不明物体 WEB安全

HTML5是一个新兴的下一代应用程序标记语言。HTML5增强了浏览器的功能,能够在现代浏览器架构下执行Internet应用程序。HTML5也可以运行在移动设备上,这使得HTML5架构更加复杂。HTML5并不是一种单一的技术,而是组合了许多技术的集合(XMLHttpRequest、DOM、CORS和一些增强的HTML标记)。它增添了几个新的浏览器技术,例如localstorage、webSQL、websocket、webworkers、增强的XHR,基于DOM的XPATH等等。它为攻击者和恶意程序增加了攻击方法和漏洞利用点。攻击者可以形无声色的进行隐形攻击,并且很难被发现。

    本文我们将深入理解这些新的架构,攻击方法和可能的威胁。这里介绍一下HTML5 威胁TOP10,之后将讨论实际应用中的demo实例。(在之后的文章)

HTML5是一种丰富互联网应用程序的新兴技术。所有浏览器都对其支持。这里是一个快速发展的里程碑。

1991 – HTML
1996 – CSS & JavaScript
2000 – XHTML
2005 – AJAX, XHR, DOM
2009 – HTML5 – HTML+CSS+JS

每一次的技术进步都会产生安全风险,攻击者就会有新的漏洞利用机会。同样HTML5也使新的风险衍生出来。下图展示的是浏览器以及html5相关技术逻辑图:

2

正如您可以看到的,许多新的技术被应用,而随之而来是对新浏览器组件的威胁,我们应当足够重视它,并作出适当的风险评估。

CORS(跨域资源共享);
Web消息– two frames & workers;
HTML5 表单增强 – Manipulations;
HTML5 – 内容和协议滥用;
沙箱– 框架/角色;
客户端存储和 SQL 注入;
离线应用 和 应用缓存;
点击挟持 – 沙箱能失去保护能力;
lAPIs – Web地理定位, Sockets和workers;

下面是可能的重要组件的风险模型。

 

HTML5 风险Top 10
HTML5有几个新的组件(比如xhr-level2,DOM、存储、应用程序缓存,WebSQL等。下面列出的是可能的十大威胁。

A1 -跨域资源共享攻击和跨站请求伪造;
A2 – 点击挟持、跨域资源共享挟持和界面利用;
A3 - HTML5 跨站脚本标记、属性和事件;
A4 - Web 存储和 DOM 信息提取;
A5 - SQLi和盲目的枚举;
A6 - Web消息传递和Web人工注入;
A7 –基于DOM的XSS与HTML5和消息传递
A8 – 第三方/离线 HTML工具;
A9 – HTML5 Web接口攻击;
A10 – HTML5协议/架构/API攻击;

(本文参考于blackhat 2012 HTML5 Top 10 – Shreeraj Shah | Blackhat EU 2012 1
HTML5 Top 10 Threats – Stealth Attacks and Silent Exploits)

发表评论

已有 3 条评论

取消
Loading...
css.php