HTML5安全风险之Web Worker攻击详解
(福利推荐:你还在原价购买阿里云服务器?现在阿里云0.8折限时抢购活动来啦!4核8G企业云服务器仅2998元/3年,立即抢购>>>:9i0i.cn/aliyun)
一、WebWorker介绍
由于Javascript是单线程执行的,在执行过程中浏览器不能执行其它Javascript脚本,UI渲染线程也会被挂起,从而导致浏览器进入僵死状态。使用WebWorker可以将计算过程放入一个新线程里去执行将避免这种情况的出现。这样我们可以同时执行多个JS任务而不会阻塞浏览器,非常适合异步交互和大规模计算,这在以前是很难做到的。
下面一张图形象的揭示了WebWorker的作用:没有WebWorker时,如果我们要煎一个鸡蛋饼,需要先和面粉,然后打鸡蛋,最后才能煎饼;使用WebWorker,可以在和面粉的同时打鸡蛋,这两者同时进行,都完成后就能开始煎饼,极大的缩短了等待的时间。
但是这样一个好的特性也会引入攻击的可能。
二、WebWorker攻击
1、Botnet
攻击的方式包括DDos攻击、发送垃圾邮件,用户一旦访问恶意页面或者网站时,页面的恶意代码就能把用户的浏览器当作肉鸡,利用WebWorker大规模执行多线程攻击,例如DDos攻击、发送垃圾邮件或者进行网络嗅探。
DDOS攻击(分布式拒绝服务攻击)
2、postMessage带来的问题
WebWorker无法访问DOM,只能通过postMessageAPI和主线程通信。postMessage在HTML5中被引入,用来解决跨域或者跨线程数据交互的问题。但是如果messaging可以接收任何来源的信息,此页面有可能会被攻击;另外postMessage不通过服务器,如果不经过验证和过滤,可能成为XSS注入点。例如如下代码没有对输入数据进行验证和清洗,攻击者完全可以构造恶意的data来注入页面DOM,构造XSS攻击,形如“><script></script>”等等。
三、攻击工具
Ravan是一个JS的分布式计算系统,可以用HTML5Web Worker通过后台加密的JS多线程脚本来执行蛮力攻击。
四、预防之道
1、对于用户来说,不要访问不安全的站点。
2、使用postMessage时需要验证来源可信;另外不要使用innerHTML,现代浏览器提供了textContent属性,可以帮助对HTML标签进行过滤,或者你可以自行编写过滤的逻辑和函数。
以上就是关于Web Worker攻击的详细介绍,希望对大家的学习有所帮助。
相关文章
- 这篇文章主要介绍了如果不使用杀毒软件保护,您可能会面临最常见的问题,2020-02-03
- 这篇文章主要介绍了分享几个IDS开源系统,需要的朋友可以参考下2019-12-01
- 身在网站要想在微信端被使用,多多少少都会有预防被拦截,是专门为运营网站和公众号的运营者一个研究的工具几十你是正常网站,也是公司企业备案,照样也会被拦截,下面 给大2019-09-15
企业数据防泄密之举措:电脑文件加密软件还是电脑数据防泄密系统?
现在很多单位局域网都是无纸化办公,公司很多商业机密信息也是以电子文档的方式存储,那么电脑文件加密软件还是电脑数据防泄密系统?下面就跟随小编一起来了解一下2019-04-24公司数据防泄密方案之如何防止电脑文件泄露、公司电脑防止资料泄露?
公司日常办公都是通过计算机网络进行,员工日常工作中形成的重要文件都是存储在各自的电脑上,那么公司如何防止商业机密泄露、防止电脑资料泄露呢?本文就来详细的介绍一下2019-04-24- 区块链无疑是2018年的热门技术。虽然,区块链技术最受关注的应用主要在金融服务领域,其实它越来越多地影响着各个行业,迅雷链底层研发工程师张骁就区块链安全问题和密码学2018-12-26
- 迅雷链开放平台研发负责人张慧勇对区块链安全问题的特点做了详细解释,介绍了目前区块链所面临的安全问题现状、区块链安全问题的特点,以及迅雷链是如何做安全的底层设计的2018-12-26
- 在这个世界上存在着许多你根本不知道的危险角落,和一些你不敢想象的罪恶行径。小编今天带大家探讨一下罪恶天堂——暗网,一个比你想象中恐怖100倍的互联网世界。感兴趣的2018-12-03
- 网络既有可爱的一面,又有可怕的一面,不良的网站,不良的信息总会时不时的出现,不良信息屏蔽系统是校园网络信息安全的重要部分,主要功能是屏蔽网上不良信息,本文就来介2018-11-30
- 随着互联网的广泛应用,互联网逐渐成为了境外间谍情报机关窃取我国家机密的重要渠道,危害我国家安全的事件时有发生。维护网络安全和国家秘密安全,是各级涉密单位、涉密人员2018-11-28
最新评论