HTML5API攻擊安全風險詳解

　　HTML5里有許多協(xié)議、模式和API，可能成為攻擊者的攻擊途徑。下面我們一起來了解一下!

　　一、registerProtocolHandler：信息泄漏

　　HTML5允許某些協(xié)議和schema注冊為新的特性。例如下面的語句可以注冊一個email handler。

　　它會將一個惡意網(wǎng)站處理器關(guān)聯(lián)到mailto這個協(xié)議上，所以它在某些情況下的濫用會導致用戶信息泄漏。

　　二、文件API：竊取文件

　　HTML5另外一些API從安全角度來看很有意思，它們還能混合起來使用。

　　例如文件API允許瀏覽器訪問本地文件，攻擊者可以將它與點擊劫持和其他攻擊混合起來獲得用戶本地的文件。比如騙取你從本地拖放文件到頁面里，這種方法在劫持攻擊一文中有較詳細的闡述。

　　三、歷史API：隱藏XSS URL

　　利用HTML5歷史API的pushState，可以隱藏瀏覽器地址欄的'攻擊URL。例如我在瀏覽器地址欄輸入

　　這個地址，用戶將會僅僅只看到http://test.baidu.com/。

　　這個問題和現(xiàn)在流行的短網(wǎng)址技術(shù)結(jié)合起來，具有更大的隱蔽性。想象一下我們在微博上看到一個短網(wǎng)址，不會有任何懷疑就會點擊這個地址查看內(nèi)容，而最后看到的地址也是相當正常的，但是在這個過程中用戶的信息和資料就不知不覺被盜取了。

　　短URL結(jié)合歷史API的攻擊

　　四、Web Notifications：盜取數(shù)據(jù)

　　Web Notifications讓我們在瀏覽器中能夠接收推送的消息通知，但是它有可能會被攻擊者利用來構(gòu)造虛假信息，騙取用戶數(shù)據(jù)。

　　例如下圖里右下角的彈窗通知看起來非常正常，需要我們輸入Gmail密碼來登錄查看新郵件。但是一旦輸入密碼，Gmail郵箱就被盜取了。我們可以仔細看看，彈窗左上角顯示的域名是gmai1.com!這正是一個釣魚網(wǎng)站的欺詐手段。

　　桌面通知攻擊

　　最后，隨著HTML5的發(fā)展，未來還可能出現(xiàn)新的HTML5安全問題，還可能還會向著復(fù)雜化和智能化去發(fā)展。

【HTML5API攻擊安全風險詳解】相關(guān)文章：

HTML5劫持攻擊安全風險詳解08-28

HTML5Web Storage攻擊安全風險詳解09-01

HTML5安全風險之WebSQL攻擊詳解08-04

HTML5Web Worker攻擊安全風險詳解08-30

詳解DDoS攻擊原理的目標導向02-14

HTML5新標簽攻擊安全攻防詳解08-25

安全設(shè)置有效防止黑客攻擊07-15

安全風險管理標語02-22

如何安全設(shè)置有效防止黑客攻擊02-22