前端階段二html5安全_第1頁(yè)
前端階段二html5安全_第2頁(yè)
前端階段二html5安全_第3頁(yè)
前端階段二html5安全_第4頁(yè)
前端階段二html5安全_第5頁(yè)
已閱讀5頁(yè),還剩12頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

關(guān)注HTML5安全蔣宇捷從HTML到HTML519911996200020052008HTML5安全風(fēng)險(xiǎn)綜述新標(biāo)簽攻擊WebSQL攻擊CORS攻擊WebStorage攻擊WebWorker攻擊ClickJackingCORJackingCookieJackingWebSocket攻擊API攻擊HTML5安全風(fēng)險(xiǎn)詳析:新標(biāo)簽攻擊完善過(guò)濾的腳本或黑名單

Tags:Audio、Video、Canvas、Article、Footer…Attributes:poster、autofocus、formaction、oninput…新的標(biāo)簽和屬性攻擊方式

多媒體標(biāo)簽:<video><sourceonerror="javascript:alert(1)“><videoposter=”javascript:alert(1)”>自動(dòng)聚焦:<inputautofocusonfocus=“alert(1)”>表單和按鈕:<form><buttonformaction="javascript:alert(1)">test防御之道HTML5安全風(fēng)險(xiǎn)詳析:WebSQL攻擊WebSQL的安全風(fēng)險(xiǎn)攻擊方式SQL注入數(shù)據(jù)庫(kù)探測(cè)防御之道檢查輸入類(lèi)型,過(guò)濾危險(xiǎn)字符在SQL語(yǔ)句中使用參數(shù)形式謹(jǐn)慎對(duì)待每一次SQL操作不要存儲(chǔ)重要數(shù)據(jù)executeSql("SELECTnameFROMstudWHEREid="+input_id)=>executeSql("SELECTnameFROMstudWHEREid=?“,[input_id])1、獲取數(shù)據(jù)庫(kù)對(duì)象2、獲取SQLite上的表結(jié)構(gòu)3、獲取數(shù)據(jù)表名4、操作數(shù)據(jù)selectnamefromuserwhereid=[1]selectnamefromuserwhereid=[1or1=1]HTML5安全風(fēng)險(xiǎn)詳析:CORS攻擊從SOP到CORSCORS帶來(lái)的風(fēng)險(xiǎn)HTTP頭不可信第三方可能會(huì)被入侵惡意跨域請(qǐng)求內(nèi)部信息泄漏針對(duì)用戶的攻擊攻擊工具防御之道不信任未經(jīng)身份驗(yàn)證的跨域請(qǐng)求請(qǐng)求方驗(yàn)證接收的數(shù)據(jù)有效性,服務(wù)方僅暴露最少最必需的功能通過(guò)多種條件屏蔽非法請(qǐng)求,例如HTTP頭、參數(shù)等Access–Control-Allow-Origin:

one.phpwebbrowsera.html

two.phpSameOriginCrossDomain

HTML5安全風(fēng)險(xiǎn)詳析:WebStorage攻擊WebStorage簡(jiǎn)介攻擊方式遍歷本地存儲(chǔ)全局變量的問(wèn)題攻擊工具HTML5CSdump:自動(dòng)攻擊工具防御之道數(shù)據(jù)放在合適的作用域里不要存儲(chǔ)敏感數(shù)據(jù)for(iinwindow){obj=window[i];if(obj!=null||obj!=undefined)vartype=typeof(obj);if(type=="object"||type=="string"){console.log(“Name:”+i);try{my=JSON.stringify(obj);console.log(my);}catch(ex){}}}HTML5安全風(fēng)險(xiǎn)詳析:WebWorker攻擊

WebWorker介紹攻擊方式僵尸網(wǎng)絡(luò):DDos攻擊、發(fā)送垃圾郵件postMessage攻擊工具:Ravan防御之道不訪問(wèn)不安全站點(diǎn)使用postMessage時(shí)驗(yàn)證來(lái)源使用postMessage時(shí)不要使用innerHTMLworker.addEventListener(‘message’,function(e){document.getElementById(‘result’).innerHTML=e.data;},false);HTML5安全風(fēng)險(xiǎn)詳析:ClickJacking什么是ClickJacking測(cè)試工具HTML5安全風(fēng)險(xiǎn)詳析:CookieJacking被攻擊域攻擊者域拖拽Cookie什么是CookieJacking防御之道-X-Frame-Options-JavaScriptif(top!==window)top.location=window.location.href;HTML5安全風(fēng)險(xiǎn)詳析:CORJacking<objectclassid=“clsid:xxxxxxx-xxxx-xxxx-xxxxxx”id=“Login”width=“100%”height=“100%”/pub/shockwave/cabs/flash/swflash.cab><paramname=“movie”value=“Login.swf”/><paramname=“quality”value=“high”/><embedsrc=“Login.swf”quality=“high”width=“50%”height=“50%”></object>document.getElementByName(‘Login’).item(0).src=‘’;什么是CORJackingHTML5安全風(fēng)險(xiǎn)詳析:WebSocket攻擊WebSocket簡(jiǎn)介攻擊方式成為后門(mén)端口掃描僵尸網(wǎng)絡(luò)網(wǎng)絡(luò)嗅探器攻擊工具:JS-Recon防御之道HTML5安全風(fēng)險(xiǎn)詳析:API攻擊API攻擊registerProtocolHandler:信息泄漏文件API:竊取文件歷史API:隱藏XSSURLWebNotifications:盜取數(shù)據(jù)navigator.registerProtocolHandler(“mailto”,“",“EvilMail");HTML5對(duì)安全的改進(jìn)回顧HTML5安全風(fēng)險(xiǎn)出現(xiàn)的原因HTML5對(duì)安全的改進(jìn)iframe沙箱CSP內(nèi)容安全策略XSS過(guò)濾器HTML5安全規(guī)范Content-Security-Pol

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論