HTML5Web Storage攻击安全风险详解

时间:2021-01-14 15:45:47 电脑安全 我要投稿

HTML5Web Storage攻击安全风险详解

  HTML5支持WebStorage,开发者可以为应用创建本地存储,存储一些有用的信息。例如LocalStorage可以长期存储,而且存放空间很大,一般是5M,极大的解决了之前只能用Cookie来存储数据的容量小、存取不便、容易被清除的问题。这个功能为客户端提供了极大的灵活性。下面跟小编一起来了解一下吧!

  一、WebStorage简介

  HTML5支持WebStorage,开发者可以为应用创建本地存储,存储一些有用的信息。例如LocalStorage可以长期存储,而且存放空间很大,一般是5M,极大的解决了之前只能用Cookie来存储数据的容量小、存取不便、容易被清除的问题。这个功能为客户端提供了极大的灵活性。

  二、攻击方式

  LocalStorage的API都是通过Javascript提供的.,这样攻击者可以通过XSS攻击窃取信息,例如用户token或者资料。攻击者可以用下面的脚本遍历本地存储。

  同时要提一句,LocalStorage并不是唯一暴露本地信息的方式。我们现在很多开发者有一个不好的习惯,为了方便,把很多关键信息放在全局变量里,例如用户名、密码、邮箱等等。数据不放在合适的作用域里会带来严重的安全问题,例如我们可以用下面的脚本遍历全局变量来获取信息。

  三、攻击工具

  HTML5dump的定义是“JavaScriptthat dump all HTML5 local storage”,它也能输出HTML5 SessionStorage、全局变量、LocalStorage和本地数据库存储。

  四、防御之道

  对于WebStorage攻击的防御措施是:

  1、数据放在合适的作用域里

  例如用户sessionID就不要用LocalStorage存储,而需要放在sessionStorage里。而用户数据不要储存在全局变量里,而应该放在临时变量或者局部变量里。

  2、不要存储敏感的信息

  因为我们总也无法知道页面上是否会存在一些安全性的问题,一定不要将重要的数据存储在WebStorage里。

【HTML5Web Storage攻击安全风险详解】相关文章:

HTML5Web Worker攻击安全风险详解08-30

HTML5API攻击安全风险详解08-26

HTML5劫持攻击安全风险详解08-28

HTML5安全风险之WebSQL攻击详解08-04

HTML5新标签攻击安全攻防详解08-25

详解DDoS攻击原理的目标导向02-14

安全设置有效防止黑客攻击07-15

安全风险管理标语02-22

企业安全遭受攻击的15个迹象02-05