HTML5安全風(fēng)險(xiǎn)之Web Storage攻擊詳解

發(fā)布時(shí)間：2015-09-26 09:41:36 作者：佚名

HTML5支持WebStorage，開發(fā)者可以為應(yīng)用創(chuàng)建本地存儲(chǔ)，存儲(chǔ)一些有用的信息。例如LocalStorage可以長(zhǎng)期存儲(chǔ)，而且存放空間很大，一般是5M，極大的解決了之前只能用Cookie來(lái)存儲(chǔ)數(shù)據(jù)的容量小、存取不便、容易被清除的問(wèn)題。這個(gè)功能為客戶端提供了極大的靈活性。

一、WebStorage簡(jiǎn)介

HTML5支持WebStorage，開發(fā)者可以為應(yīng)用創(chuàng)建本地存儲(chǔ)，存儲(chǔ)一些有用的信息。例如LocalStorage可以長(zhǎng)期存儲(chǔ)，而且存放空間很大，一般是5M，極大的解決了之前只能用Cookie來(lái)存儲(chǔ)數(shù)據(jù)的容量小、存取不便、容易被清除的問(wèn)題。這個(gè)功能為客戶端提供了極大的靈活性。

二、攻擊方式

LocalStorage的API都是通過(guò)Javascript提供的，這樣攻擊者可以通過(guò)XSS攻擊竊取信息，例如用戶token或者資料。攻擊者可以用下面的腳本遍歷本地存儲(chǔ)。

同時(shí)要提一句，LocalStorage并不是唯一暴露本地信息的方式。我們現(xiàn)在很多開發(fā)者有一個(gè)不好的習(xí)慣，為了方便，把很多關(guān)鍵信息放在全局變量里，例如用戶名、密碼、郵箱等等。數(shù)據(jù)不放在合適的作用域里會(huì)帶來(lái)嚴(yán)重的安全問(wèn)題，例如我們可以用下面的腳本遍歷全局變量來(lái)獲取信息。

三、攻擊工具

HTML5dump的定義是“JavaScriptthat dump all HTML5 local storage”，它也能輸出HTML5 SessionStorage、全局變量、LocalStorage和本地?cái)?shù)據(jù)庫(kù)存儲(chǔ)。

四、防御之道

對(duì)于WebStorage攻擊的防御措施是：

1、數(shù)據(jù)放在合適的作用域里

例如用戶sessionID就不要用LocalStorage存儲(chǔ)，而需要放在sessionStorage里。而用戶數(shù)據(jù)不要儲(chǔ)存在全局變量里，而應(yīng)該放在臨時(shí)變量或者局部變量里。

2、不要存儲(chǔ)敏感的信息

因?yàn)槲覀兛傄矡o(wú)法知道頁(yè)面上是否會(huì)存在一些安全性的問(wèn)題，一定不要將重要的數(shù)據(jù)存儲(chǔ)在WebStorage里。

以上就是Web Storage攻擊詳細(xì)介紹，希望對(duì)大家學(xué)習(xí)Web Storage攻擊有所幫助。

Tag：HTML5 Web Storage 安全

相關(guān)文章

黑客常用的10大安全檢測(cè)工具
從事網(wǎng)絡(luò)安全工作，手上自然離不開一些重要的網(wǎng)絡(luò)安全工具,今天就為大家分享10大網(wǎng)絡(luò)安全工具,需要的朋友可以參考下
2023-10-05
黑客常用10大安全檢測(cè)工具，你用過(guò)幾個(gè)？
這篇為大家分享的是近幾年比較流量的安全檢測(cè)工具，從事網(wǎng)絡(luò)安全工作，手上自然離不開一些重要的網(wǎng)絡(luò)安全工具,今天就為大家分享10大網(wǎng)絡(luò)安全工具
2023-10-05
曾經(jīng)那些年非常火的十大黑客工具，你了解多少？
如今小編從事了信息安全的工作，也算是將興趣升級(jí)成了工作,今天給大家聊聊那些年非常火的黑客軟件
2023-10-05
如果不使用殺毒軟件保護(hù)，您可能會(huì)面臨最常見的問(wèn)題?
這篇文章主要介紹了如果不使用殺毒軟件保護(hù)，您可能會(huì)面臨最常見的問(wèn)題,
2020-02-03
分享幾個(gè)IDS開源系統(tǒng)
這篇文章主要介紹了分享幾個(gè)IDS開源系統(tǒng),需要的朋友可以參考下
2019-12-01
微信域名防封技術(shù) 微信域名總是被屏蔽被攔截該如何解決
身在網(wǎng)站要想在微信端被使用，多多少少都會(huì)有預(yù)防被攔截，是專門為運(yùn)營(yíng)網(wǎng)站和公眾號(hào)的運(yùn)營(yíng)者一個(gè)研究的工具幾十你是正常網(wǎng)站，也是公司企業(yè)備案，照樣也會(huì)被攔截,下面給大
2019-09-15
企業(yè)數(shù)據(jù)防泄密之舉措:電腦文件加密軟件還是電腦數(shù)據(jù)防泄密系統(tǒng)?
現(xiàn)在很多單位局域網(wǎng)都是無(wú)紙化辦公，公司很多商業(yè)機(jī)密信息也是以電子文檔的方式存儲(chǔ)，那么電腦文件加密軟件還是電腦數(shù)據(jù)防泄密系統(tǒng)?下面就跟隨小編一起來(lái)了解一下
2019-04-24
公司數(shù)據(jù)防泄密方案之如何防止電腦文件泄露、公司電腦防止資料泄露?
公司日常辦公都是通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行，員工日常工作中形成的重要文件都是存儲(chǔ)在各自的電腦上，那么公司如何防止商業(yè)機(jī)密泄露、防止電腦資料泄露呢？本文就來(lái)詳細(xì)的介紹一下
2019-04-24
迅雷鏈技術(shù)專家深度剖析:區(qū)塊鏈信任之源的秘密
區(qū)塊鏈無(wú)疑是2018年的熱門技術(shù)。雖然，區(qū)塊鏈技術(shù)最受關(guān)注的應(yīng)用主要在金融服務(wù)領(lǐng)域，其實(shí)它越來(lái)越多地影響著各個(gè)行業(yè)，迅雷鏈底層研發(fā)工程師張驍就區(qū)塊鏈安全問(wèn)題和密碼學(xué)
2018-12-26
迅雷鏈張慧勇:區(qū)塊鏈安全威脅及防護(hù)思路分析
迅雷鏈開放平臺(tái)研發(fā)負(fù)責(zé)人張慧勇對(duì)區(qū)塊鏈安全問(wèn)題的特點(diǎn)做了詳細(xì)解釋，介紹了目前區(qū)塊鏈所面臨的安全問(wèn)題現(xiàn)狀、區(qū)塊鏈安全問(wèn)題的特點(diǎn)，以及迅雷鏈?zhǔn)侨绾巫霭踩牡讓釉O(shè)計(jì)的
2018-12-26