HTML5是万维网联盟(W3C)发布的新一套渲染网页标准,在给全球互联网带来更多功能的同时,HTML5也引来了黑客们的兴趣,黑客们现在可以更多地对HTML5和JavaScript发动恶意攻击,甚至比以往任何时候都要容易。比如,谷歌Chrome、Safari、Firefox和Opera等浏览器基于HTML5所部署的离线应用程序缓存功能就很容易受到黑客攻击。而HTML5的WebSocket技术向浏览器提供了一种网络通信协议,也可以被用做秘密的后门通信。
技术的发展与变革已经不能靠单一的某项技术来推动,如同HTML5一样,它的新使命是将Web带入一个成熟的应用平台,所以HTML5并不是简单的HTML标签的升级,而是涵盖了各种新的JS API函数,比如本地存储、拖放操作、地理定位、视频、音频、图像、动画等。同时,HTML5平台下CSS3的完善也使得WEB前端的表现力更加活跃。那么由此,我们可以把HMTL5平台下的新安全风险分为三方面:HTML+JS+CSS。这些风险已经逐渐开始得到了业内人士的关注。
本月刚刚结束的“2011年中国计算机网络安全年会”除了探讨 “移动互联网安全"、“网络安全技术前沿”、“通信基础设施安全”、“地下经济和网络犯罪”等话题外,最引人瞩目的话题无疑要属于“HTML5安全威胁”。天融信资深安全专家徐少培代表天融信在会上首次正式发布了HTML5安全威胁报告。可以预见,HTML5安全威胁论未来将成为业界最为关注的安全话题之一。下面我们就一一看看这些风险到底是怎样的。
1、新标签和新属性绕过黑名单策略
HTML5带给人们最明显的变化就是增加了新的标签和新的标签属性,这些新标签给以黑名单策略做防护的设备带来了不小的冲击力,就是可以直接绕过黑名单策略。在WEB防护上我们经常使用黑名单策略来进行对XSS的防护,比如在WEB脚本程序中使用黑名单或在WAFS(比如modsecurity)等网络设备中使用。黑名单经常使用PCRE对标签和属性进行正则匹配。那么攻击者可以使用新标签和属性直接绕过黑名单策略发起攻击。能够执行XSS脚本的标签有语音标签和视频标签,<video>和<audio>。属性formaction,onformchange,onforminput,autofocus。
2、隐藏URL中的恶意代码
在URL跨站攻击中,为了欺骗用户去点击,会使用短网址技术隐藏URL中的恶意代码,比如使用http://bit.ly/对包含有跨站代码的URL进行短网址变换。但这时候问题来了,虽然进行了短网址变换,隐藏了URL参数后的恶意代码,但用户点击后浏览器的URL地址栏中还是会出现恶意代码。对于这种攻击来说,短地址技术隐藏了一半。那么另一半我们可以使用新方法pushState()来实现对恶意代码的隐藏,HTML5中新加入了两个新方法pushState()和replaceState(),我们可以使用pushState进行无页面刷新更改当前URL,而这个URL只要是和原来的URL同域就可以。
3、拖放劫持攻击的崛起
可以把拖放劫持定义为,点击劫持技术(Clickjacking)+HTML5拖放事件。点击劫持攻击刚被提出来的时候,其在隐藏框中的操作只涉及到鼠标点击操作。然而单纯的点击劫持攻击范围有所限制。拖放劫持模式将劫持的用户操作由单纯的鼠标点击扩展到了鼠标拖放行为。在现在的WEB应用中,有大量的需要用户采用鼠标拖放完成的操作(例如一些小游戏等),而且用户也常常在浏览器中使用“鼠标拖放”操作来代替复制和粘贴。因此“拖放操作劫持”大大扩展了点击劫持的攻击范围。不仅如此,在浏览器中拖放操作是不受“同源策略”限制的,用户可以把一个域的内容拖放到另外一个不同的域。简单地说,就是用户可以将某一个浏览器页面中的内容拖放到另外一个浏览器的页面中,也可以通过在某个浏览器页面中的拖放操作实现对其他浏览器页面内容的读写功能。这样的效果是上一代“点击劫持”无法做到的。因此,突破同源策略限制的“拖放劫持”可以演化出更为广泛的攻击形式,突破很多种防御。例如:可以通过劫持某个页面的拖放操作实现对其他页面链接的窃取,这些链接中可能会有session key,token,password等敏感信息;或者可以把其他浏览器中的页面内容拖拽到富文本编辑模式中,这样就能够看到页面源代码,而这些HTML源代码中可能会有type="hidden"等敏感信息。前段时间大家熟知的“Cookiejacking”就是利用拖放劫持技术来发起的攻击。
