WEB安全番外第二篇--明日之星介绍HTML5安全问题介绍

一、CORS领域问题:

1、CORS的介绍请参考:跨域资源共享简介

2、HTML5中的XHR2级调用可以打开一个socket连接,发送HTTP请求,有趣的是,上传文件这里恰恰是multi-part/form-data恰恰符合要求,不需要preflight,所而且可以带cookie等认证信息。完美的绕过了所有的跨域共享防御机制。

 1 <script language=javascript type=text/javascript>
 2 functiongetMe()
 3 {
 4 varhttp;
 5 http=newXMLHttpRequest();
 6 http.open(POST,http://192.168.100.12/json/jservice.ashx,true);
 7 http.setRequestHeader(Content-Type,text/plain);
 8 http.withCredentials=true;
 9 http.onreadystatechange=function()
10 {
11 if(http.readyState==4){
12 varresponse=http.responseText;
13 document.getElementById(result).innerHTML=response;
14 }
15 }
16 http.sent({\id\:2,\method\:\getProduct\,\params\:{\id\:2}});
17 }getMe();
18 </script>

二、新标签、新属性的XSS问题:

1、主要针对过滤情况,对新的标签和属性可能没有做到足够的过滤。

2、标签:media:【audio、video】;canvas:【getImageData】;menu;embed ;buttons ;commands Formcontrol:【keys】

3、其他类:form,submit,autofocus,sandbox,manifest,rel等等;新的富文本脚本语言等等;

三、WEB存储和DOM信息萃取:

1、locolStorage对象将在WEB数据持久化在本地,可以直接通过js读取。重要的敏感数据应该一律存储在session Storage之中。

1 <script>
2 if(localStorage.length){
3          for(I in localStorage) {
4                    console.log(i);
5                    console.log(localStorage.getItem(i));
6          }
7 }
8 </script>   

四、webworker攻击:

1、主要僵尸网络,攻击者在可插入代码的地方写了一段代码不断开启webworker从事恶意活动,网页只要被访问就会执行恶意代码。会引发注入ddos、发送垃圾邮件等等,用户的browser变成肉鸡。

2、webworker可以童年过postmessageapi来和主线程通信,如果没有做过滤和验证,字可以对dom数据进行读写。

3、常见攻击攻击:ravan

五、websocket攻击:

1、成为后门、端口扫描、僵尸网络、嗅探等等

JS_recon是一款基于JS的网络探测工具,使用wensocket执行网络及端口扫描。

六:新的API仍需注意并仔细分析有没有存在安全风向。

原文地址:https://www.cnblogs.com/KevinGeorge/p/8297167.html

时间: 2024-10-14 02:39:26

WEB安全番外第二篇--明日之星介绍HTML5安全问题介绍的相关文章

WEB安全番外第六篇--关于通过记录渗透工具的Payload来总结和学习测试用例

背景: 在WEB安全的学习过程中,了解过了原理之后,就是学习各种Payload,这里面蕴藏着丰富的知识含量,是在基本上覆盖了漏洞原理之后的进一步深入学习的必经之路.无理是Burpsuite还是Sqlmap.Awvs亦或是其他工具,包括人工收工构造的Payload都有很高的记录和学习意义,一方面如上所说的提高对WEB安全的掌握和理解,另一方面也对WEB安全自动化测试做积累. 需求: 记录WEB安全各种报文payload的工具 开发语言: Python2.7 依赖第三方库: pypcap dpkt

WEB安全番外第五篇--关于使用通配符进行OS命令注入绕WAF

一.通配符简介: 一般来讲,通配符包含*和?,都是英文符号,*用来匹配任意个任意字符,?用来匹配一个任意字符. 举个例子使用通配符查看文件,可以很名下看到打卡的文件是/etc/resolv.conf: 1 └─[$]> sudo head -5 /???/r????v.c??f 2 # 3 # macOS Notice 4 # 5 # This file is not consulted for DNS hostname resolution, address 6 # resolution, o

web前端入坑第二篇:web前端到底怎么学?干货资料! 【转】

http://blog.csdn.net/xllily_11/article/details/52145172 版权声明:本文为博主[小北]原创文章,如要转载请评论回复.个人前端公众号:前端你别闹,JS前端实用开发QQ群 :147250970 欢迎加入~! 目录(?)[+] hi,大家好! 我的第一篇文章:[web前端到底是什么?有前途吗?],在我没想到如此 ‘HOT’ 的情况下 得到很多好评和有效传播. 也为我近期新开的 个人前端公众号:前端你别闹(webunao) 直接增加了几百粉(果然,帅

Python 项目实践三(Web应用程序)第二篇

接着上节的继续学习,使用Django创建网页的过程通常分三个阶段:定义URL.编写视图和编写模板.首先,你必须定义URL模式,每个URL都被映射到特定的视图--视图函数获取并处理网页所需的数据.视图函数通常调用一个模板,后者生成浏览器能够理解的网页.为明白其中的工作原理,我们来创建学习笔记的主页.我们将定义该主页的URL.编写其视图函数并创建一个简单的模板. 一 创建网页:学习笔记主页 1 映射URL 用户通过在浏览器中输入URL以及单击链接来请求网页,因此我们需要确定项目需要哪些URL .主页

Vue学习【第二篇】:ES6简单介绍

ECMAScript 6 简介 ECMAScript 6.0(以下简称 ES6)是 JavaScript 语言的下一代标准,已经在 2015 年 6 月正式发布了.它的目标,是使得 JavaScript 语言可以用来编写复杂的大型应用程序,成为企业级开发语言. ECMA:国际标准组织 let,var和const命令 const:是用来定义一个常量的 const a ='hello' //const就是定义一个常量 //常量是不能修改的 let:是用来定义一个块级作用域的变量 let和val都是用

[应用篇]第二篇 JSP自带标签介绍

JSP 有以下三类标签: 指令:JSP Directive 指令标签用于设置与整个 JSP 页面相关的属性,非常常用. 下面的三种标签是我们使用频率最高的 标签 jsp标签 描述 <%@ page … %> 使用比较 <jsp:directive.page attribute="value" /> 定义页面的依赖属性,例如脚本语言.页面编码.缓存需求等等 <%@ include … %> 静态包含,使用比较多 <jsp:directive.in

嵌入式的Web应用容器Jetty (第二篇)

它的根节点支持申明?? org.mortbay.jetty.Server???? 或 ??????org.mortbay.jetty.webapp.WebAppContext 两种:? 1. <?xml version="1.0"?> <!DOCTYPE Configure PUBLIC "-//Mort Bay Consulting//DTD Configure//EN" "http://jetty.mortbay.org/config

编程珠玑番外篇

1.Plan 9 的八卦 在 Windows 下喜欢用 FTP 的同学抱怨 Linux 下面没有如 LeapFTP 那样的方便的工具. 在苹果下面用惯了 Cyberduck 的同学可能也会抱怨 Linux 下面使用 FTP 和 SFTP 是一件麻烦的事情. 其实一点都不麻烦, 因为在 LINUX 系统上压根就不需要用 FTP. 为什么呢? 因为一行简单的配置之后, 你就可以像使用本机文件一样使用远程的任何文件. 无论是想编辑, 查看还是删除重命名, 都和本机文件一样的用. 这么神奇的功能到底如何

【转载】数学之美番外篇:平凡而又神奇的贝叶斯方法

数学之美番外篇:平凡而又神奇的贝叶斯方法 BY 刘未鹏 – SEPTEMBER 21, 2008POSTED IN: 数学, 机器学习与人工智能, 计算机科学 概率论只不过是把常识用数学公式表达了出来. ——拉普拉斯 记得读本科的时候,最喜欢到城里的计算机书店里面去闲逛,一逛就是好几个小时:有一次,在书店看到一本书,名叫贝叶斯方法.当时数学系的课程还没有学到概率统计.我心想,一个方法能够专门写出一本书来,肯定很牛逼.后来,我发现当初的那个朴素归纳推理成立了——这果然是个牛逼的方法. ——题记 目