界面操作劫持與HTML5安全的示例分析-創(chuàng)新互聯(lián)

這篇文章主要介紹界面操作劫持與HTML5安全的示例分析，文中介紹的非常詳細，具有一定的參考價值，感興趣的小伙伴們一定要看完！

網(wǎng)站建設(shè)哪家好，找成都創(chuàng)新互聯(lián)！專注于網(wǎng)頁設(shè)計、網(wǎng)站建設(shè)、微信開發(fā)、小程序制作、集團企業(yè)網(wǎng)站建設(shè)等服務(wù)項目。為回饋新老客戶創(chuàng)新互聯(lián)還提供了喀左免費建站歡迎大家使用！

一、界面操作劫持

1）ClickJacking

ClickJacking點擊劫持，這是一種視覺上的欺騙。

攻擊者使用一個透明的、不可見的iframe，覆蓋在網(wǎng)頁的某個位置上，誘使用戶點擊iframe。

2）TapJacking

現(xiàn)在移動設(shè)備的使用率越來越高，針對移動設(shè)備的特點，衍生出了TapJacking（觸屏劫持）。

手機上的屏幕范圍有限，手機瀏覽器為了節(jié)約空間，可以隱藏地址欄，手機上的視覺欺騙會更加容易實施。

1. 第一張中最上方顯示了瀏覽器地址欄，同時攻擊者在頁面中畫出了一個假的地址欄；

2. 第二張中真實的瀏覽器地址欄已經(jīng)自動隱藏了，此時頁面中只剩下假的地址欄；

3. 第三張中是瀏覽器地址欄被正常隱藏的情況。

這種針對視覺效果的攻擊可以被利用進行釣魚和欺詐。

3）X-Frame-Options

針對傳統(tǒng)的界面劫持，通過禁止iframe來防范。

HTTP頭中有一個響應(yīng)頭X-Frame-Options，有三個值可以選擇：

1. DENY：該頁面不允許加載任何 iframe頁面。

2. SAMEORIGIN：該頁面可以加載相同域名的 iframe頁面。

3. ALLOW-FROM uri：該頁面可以加載指定來源的 iframe頁面。

二、HTML5安全

HTML5中新增的一些標簽和屬性，使得XSS等Web攻擊產(chǎn)生了新的變化，在HTML5 Security Cheatsheet中總結(jié)了這些變化。

1）隱藏URL惡意代碼

反射型XSS中，會將惡意代碼寫在URL參數(shù)中，這樣的話，用戶也能看到惡意代碼，例如下面的鏈接：

http://www.csrf.net/csrf.html?id=<script>111</script>

可以通過window.history來操作瀏覽器的歷史記錄。

pushState()有三個參數(shù)：狀態(tài)對象、標題，可選的URL地址。

history.pushState({},"", location.href.split('?').shift());

執(zhí)行上面那段代碼后就會將參數(shù)隱藏。

新的URL地址就是下面這個：

“pushState”還可以偽造瀏覽器歷史記錄。

for(i=0; i<10; i++)
    history.pushState({},"", "/"+i+".html");

2）HTML5下的僵尸網(wǎng)絡(luò)

僵尸網(wǎng)絡(luò)（Botnet）是指在大量的計算機中植入特定的惡意程序，使控制者能夠通過若干計算機直接向其他計算機發(fā)送指令，進行網(wǎng)絡(luò)攻擊。

基于Web前端的僵尸網(wǎng)絡(luò)可以用作DDOS攻擊，這里涉及Web Worker技術(shù)和CORS處理機制，再通過Web蠕蟲傳播。

Web Worker是一種多線程機制，可以異步執(zhí)行惡意JS代碼，而不影響用戶在瀏覽器中的正常操作。

CORS處理機制工作在瀏覽器層面，如果服務(wù)器不允許跨站，瀏覽器將攔截服務(wù)器返回的結(jié)果，也就是說跨域請求，服務(wù)器也會正常響應(yīng)。

那么就可以事先寫好一段異步請求的腳本（worker.js），然后通過Web Worker來執(zhí)行這段腳本，不斷的向目標服務(wù)器發(fā)起請求。

var worker_loc = 'worker.js';//封裝了ajax請求的腳本
var target = ' 
//可實例化多個
Web Workervar workers = [];for (i = 0; i < 1; i++) {
      workers[i] = new Worker(worker_loc);
      workers[i].postMessage(target);//跨域消息傳遞}

以上是“界面操作劫持與HTML5安全的示例分析”這篇文章的所有內(nèi)容，感謝各位的閱讀！希望分享的內(nèi)容對大家有幫助，更多相關(guān)知識，歡迎關(guān)注創(chuàng)新互聯(lián)成都網(wǎng)站設(shè)計公司行業(yè)資訊頻道！

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機、免備案服務(wù)器”等云主機租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

網(wǎng)站名稱：界面操作劫持與HTML5安全的示例分析-創(chuàng)新互聯(lián)
鏈接分享：http://bm7419.com/article0/diosoo.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供微信小程序、品牌網(wǎng)站建設(shè)、企業(yè)網(wǎng)站制作、云服務(wù)器、響應(yīng)式網(wǎng)站、靜態(tài)網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)