HTML5作为富互联网应用的关键技术,因其新特性受到广泛采用,但也引入了新的安全问题。CORS、XHR-LEVEL2等打破了同源策略,WebStorage和ApplicationCache增加了客户端攻击风险,而WebWorkers和WebSocket可能被滥用。中国互联网网站在采用HTML5的同时,安全防护方面存在不足,现有Web应用扫描器对HTML5安全问题检测不全面。测试结果显示,国内网站对HTML5新形态安全威胁的防御力较弱。
摘要:
HTML5是目前富互联网应用(RIA)中最重要的技术之一。由于得到了业界厂商的大力支持,发展迅速,已经成为未来Web应用发展的事实标准。新技术的引用,在给用户提供丰富多彩互联网的同时,也引入了新的安全问题:CORS、XHR-LEVEL2等已经打破了浏览器原有的同源策略准则(SOP);Web Storage、Application Cache等新功能在增强客户端能力的同时,也提供了一些新型的客户端攻击机制;Web Workers、Web Socket等新特性则引入了新的滥用手段。在中国互联网上,越来越多的网站开始逐步采用HTML5技术,但在安全防护方面还存在众多弱点。与此同时,目前大多数Web应用扫描器都不具备检测HTML5安全问题的特性,这使得HTML5安全问题在安全评估与渗透测试过程中成为盲点。深入探讨HTML5新引入的安全威胁,通过对国内支持HTML5大型网站的测试发现了大量安全问题,并对现有Web应用扫描器对HTML5支持情况进行了调查分析,结果验证了国内互联网网站对于HTML5新形态安全威胁的脆弱性。
展开
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
