4、本地存储存在的安全隐患
HTML5通过使用localStorage进行本地存储,每个域的存储数据默认是5M,比起Cookie的4K存储要大很多。对于本地存储,存在一下几点安全隐患。
(1)不宜使用localStorage来代替cookie做身份验证。cookie有HTTPONLY的保护,而localStorage没有任何保护机制,一旦有XSS漏洞使用localStorage存储的数据很容易被获取。
(2)localStorage是采取明文存储,如果用户不主动删除,数据将永久存在。
(3)本地存储容易遭到DNS欺骗攻击。
(4)localStorage存储没有路径概念,容易遭到跨目录攻击。
(5)5M的存储空间,攻击者可以把蠕虫的shellcode代码存储在本地。
5、HTML5的两个跨源请求方法
HTML5中增加了两个重要的跨源通讯模块,跨文档消息通讯和XML HttpRequest Level2。跨文档消息通讯把postMessage API定义为发送消息的标准方式。在处理跨文档通讯消息时,要注意以下几个安全问题。首先严格验证每个消息的源头,其次即使来源可信,也应该像对待外部输入一样仔细检测过滤。最后就是永远不要对来自第三方的字符串求值。
XMLHttpRequest Level2通过CORS(Cross Origin Resource Sharing,跨源资源共享)实现了跨源的XMLHttpRequests。如果服务器决定允许返回请求,则会在HTTP返回头中加入Access-Control-Allow-Origin: *。如果使用*号则表示任何主机的请求都可以得到返回数据。这样做是很危险的。其次,也不要使用Origin header去做访问控制,使用第三方工具很容易绕过。最后,最好先判断源然后再去进行下面的流程处理,这样可以多少避免恶意的CORS请求,防止服务器遭受DDOS攻击。
6、HTML5僵尸网络
使用HTML5 Web Workers可以让Web应用程序具备后台处理能力,而且对多线程支持非常好。通过CORS可以发起跨源的XMLHttpRequest请求,CORS的安全策略仅仅在于是否允许得到服务器返回数据,但发送的请求服务器都会进行处理。这两种HTML5的新方法组合起来就可以造就HTML5僵尸网络。设想用户打开也一个网页,但网页的后台正在疯狂的进行数据操作,如不停的在向一台服务器发送POST请求,或进行着某些运算。也就是说用户打开网页的那一刻,不知不觉中就已经成为HTML5僵尸网络中的一员。
7、地理定位暴露你的位置
HTML5的Geolocation API,允许用户在Web应用程序中共享他们的位置,使其能够享受位置感知服务。HTML5 Geolocation规范提供了一套保护用户隐私的机制,除非得到用户明确许可,否则不可能获取位置信息。但用户如果在网页中使用地理定位服务,那么就用可能泄漏用户地理位置的危险。因为如果这个网页中被攻击者加入了劫持代码,那么用户地理位置的经纬度就会被攻击者获取。
8、CSS3增加了UI攻击风险
随着HTML5应用平台下CSS3的引入,使得WEB前端的表现能力更加活跃,圆角,阴影,旋转等等技术更将 CSS 带到前所未有的高度。然而,从另一角度来看,攻击者也可以使用CSS3的这些新技术去伪造出浏览器模块,进而发动UI攻击。这样的攻击方式已经出现,我发现的Bugtraq ID: 47547,47548,47549就是使用CSS样式去伪造浏览器URL状态栏产生的UI攻击。
