HTML5安全风险之Web Storage攻击详解
我要评论一、WebStorage简介
HTML5支持WebStorage,开发者可以为应用创建本地存储,存储一些有用的信息。例如LocalStorage可以长期存储,而且存放空间很大,一般是5M,极大的解决了之前只能用Cookie来存储数据的容量小、存取不便、容易被清除的问题。这个功能为客户端提供了极大的灵活性。
二、攻击方式
LocalStorage的API都是通过Javascript提供的,这样攻击者可以通过XSS攻击窃取信息,例如用户token或者资料。攻击者可以用下面的脚本遍历本地存储。
同时要提一句,LocalStorage并不是唯一暴露本地信息的方式。我们现在很多开发者有一个不好的习惯,为了方便,把很多关键信息放在全局变量里,例如用户名、密码、邮箱等等。数据不放在合适的作用域里会带来严重的安全问题,例如我们可以用下面的脚本遍历全局变量来获取信息。
三、攻击工具
HTML5dump的定义是“JavaScriptthat dump all HTML5 local storage”,它也能输出HTML5 SessionStorage、全局变量、LocalStorage和本地数据库存储。
四、防御之道
对于WebStorage攻击的防御措施是:
1、数据放在合适的作用域里
例如用户sessionID就不要用LocalStorage存储,而需要放在sessionStorage里。而用户数据不要储存在全局变量里,而应该放在临时变量或者局部变量里。
2、不要存储敏感的信息
因为我们总也无法知道页面上是否会存在一些安全性的问题,一定不要将重要的数据存储在WebStorage里。
以上就是Web Storage攻击详细介绍,希望对大家学习Web Storage攻击有所帮助。
相关文章
从事网络安全工作,手上自然离不开一些重要的网络安全工具,今天就为大家分享10大网络安全工具,需要的朋友可以参考下2023-10-05
这篇为大家分享的是近几年比较流量的安全检测工具,从事网络安全工作,手上自然离不开一些重要的网络安全工具,今天就为大家分享10大网络安全工具2023-10-05
如今小编从事了信息安全的工作,也算是将兴趣升级成了工作,今天给大家聊聊那些年非常火的黑客软件2023-10-05- 这篇文章主要介绍了如果不使用杀毒软件保护,您可能会面临最常见的问题,2020-02-03
- 这篇文章主要介绍了分享几个IDS开源系统,需要的朋友可以参考下2019-12-01
- 身在网站要想在微信端被使用,多多少少都会有预防被拦截,是专门为运营网站和公众号的运营者一个研究的工具几十你是正常网站,也是公司企业备案,照样也会被拦截,下面 给大2019-09-15
企业数据防泄密之举措:电脑文件加密软件还是电脑数据防泄密系统?
现在很多单位局域网都是无纸化办公,公司很多商业机密信息也是以电子文档的方式存储,那么电脑文件加密软件还是电脑数据防泄密系统?下面就跟随小编一起来了解一下2019-04-24
公司数据防泄密方案之如何防止电脑文件泄露、公司电脑防止资料泄露?
公司日常办公都是通过计算机网络进行,员工日常工作中形成的重要文件都是存储在各自的电脑上,那么公司如何防止商业机密泄露、防止电脑资料泄露呢?本文就来详细的介绍一下2019-04-24
区块链无疑是2018年的热门技术。虽然,区块链技术最受关注的应用主要在金融服务领域,其实它越来越多地影响着各个行业,迅雷链底层研发工程师张骁就区块链安全问题和密码学2018-12-26
迅雷链开放平台研发负责人张慧勇对区块链安全问题的特点做了详细解释,介绍了目前区块链所面临的安全问题现状、区块链安全问题的特点,以及迅雷链是如何做安全的底层设计的2018-12-26
最新评论