HTML5里有许多协议、模式和API,可能成为攻击者的攻击途径。
一、registerProtocolHandler:信息泄漏
HTML5允许某些协议和schema注册为新的特性。例如下面的语句可以注册一个email handler。
它会将一个恶意网站处理器关联到mailto这个协议上,所以它在某些情况下的滥用会导致用户信息泄漏。
二、文件API:窃取文件
HTML5另外一些API从安全角度来看很有意思,它们还能混合起来使用。
例如文件API允许浏览器访问本地文件,攻击者可以将它与点击劫持和其他攻击混合起来获得用户本地的文件。比如骗取你从本地拖放文件到页面里,这种 *** 在劫持攻击一文中有较详细的阐述。
三、历史API:隐藏XSS URL
利用HTML5历史API的pushState,可以隐藏浏览器地址栏的攻击URL。例如我在浏览器地址栏输入
这个地址,用户将会仅仅只看到http://test.baidu.com/。
这个问题和现在流行的短网址技术结合起来,具有更大的隐蔽性。想象一下我们在微博上看到一个短网址,不会有任何怀疑就会点击这个地址查看内容,而最后看到的地址也是相当正常的,但是在这个过程中用户的信息和资料就不知不觉被盗取了。
短URL结合历史API的攻击
四、Web Notifications:盗取数据
Web Notifications让我们在浏览器中能够接收推送的消息通知,但是它有可能会被攻击者利用来构造虚假信息,骗取用户数据。
例如下图里右下角的弹窗通知看起来非常正常,需要我们输入Gmail密码来登录查看新邮件。但是一旦输入密码,Gmail邮箱就被盗取了。我们可以仔细看看,弹窗左上角显示的域名是gmai1.com!这正是一个钓鱼网站的欺诈手段。
桌面通知攻击
最后,随着HTML5的发展,未来还可能出现新的HTML5安全问题,还可能还会向着复杂化和智能化去发展。
以上就是关于API攻击的详细介绍,希望对大家的学习有所帮助。
爱上兼职是一个手机做义务免费赚钱的APP,想看是一个看新闻免费赚钱的APP,这两者共同之处是可以一直提现0.3米,秒到微信零钱!伶俐的摇钱树只能提一次,新用户登录即可直接提现0.3米,同样秒到微信零钱...
在选购智能锁的进程中,我们会碰着许多差异的智能锁品牌供我们选择,而这些智能锁品牌中,各个品牌的智能锁的质量都是差异的,不只有好有坏,并且还各有优缺点。浩瀚品牌中,亚太天能智能锁受到了许多人的青睐,...
103.47.168[.]72:449支撑快速传输Resources:其间包括了如AndroidManifest.xml、字符串等一切的静态文件[1][2]黑客接单 5.strip_tags()装备文...
小程序为何火爆?最重要的一个特性便是“既用即走”,微信小程序与APP不一样,它不用下载安装、不占手机运行内存,随时能用,便捷又高效率。今日我给大伙儿强烈推荐几种最新发现的好用微信小程序,一起来看看。...
最近半导体,芯片很热闹。 而最大的催化剂是中芯国际回归A股科创板及美国全面封杀华为。 中芯国际回归在先,而美国封杀华为在后。说明我们对于情况己做了充分估量。这点从周末大基金投资中芯国际就可以得到验...
一、能恢复删掉的照片吗黑客接单流程 1、cmd命令怎么使用接单黑客电话是客户的电话,他很抱歉改变了任务,但不要破坏他的电脑。能恢复删掉的照片吗苹果手机代码桌面服务也是一个非常重要的价格,不再是主导买方...